Ciberseguridad - Insights, Ciberseguridad - Noticias, Noticias, Noticias - Insights

Google confirma que cuentas de Workspace también fueron afectadas en la campaña de robo de datos de Salesforce–Salesloft Drift

Posted on by Karmina Clemente
01
Sep

Google confirmó que la reciente campaña de robo de datos, que se centró principalmente en clientes de Salesforce a través de la integración con Salesloft Drift, también afectó a un número limitado de cuentas de Google Workspace.

Resumen del incidente

El ataque, llevado a cabo entre el 8 y el 18 de agosto de 2025, aprovechó tokens OAuth comprometidos de la herramienta de inteligencia artificial Salesloft Drift. Inicialmente, el objetivo era extraer grandes cantidades de datos de instancias de Salesforce, probablemente para robo de credenciales. Los atacantes buscaban claves de acceso a AWS, contraseñas, tokens de Snowflake y otra información corporativa sensible. El Grupo de Inteligencia de Amenazas de Google (GTIG) atribuye la campaña al actor de amenazas UNC6395.

Impacto en Google Workspace

El 28 de agosto de 2025, GTIG confirmó que las cuentas de Workspace integradas con Salesloft Drift también fueron comprometidas. Usando los tokens OAuth robados, los atacantes accedieron a correos electrónicos de un número muy reducido de cuentas de Workspace el 9 de agosto de 2025. Google aclaró que solo las cuentas configuradas específicamente con Salesloft Drift fueron afectadas y que no se accedió a otras cuentas dentro de los mismos dominios.

En respuesta, Google revocó los tokens OAuth de la aplicación Drift Email y desactivó la integración de Workspace con Salesloft Drift. Todos los administradores de Workspace afectados fueron notificados. Google enfatizó que ni Workspace ni Alphabet fueron comprometidos.

Recomendaciones para las organizaciones

Google recomienda a todas las organizaciones que usan Drift:

  • Revisar cuidadosamente las integraciones de terceros
  • Rotar las credenciales asociadas a aplicaciones conectadas
  • Inspeccionar los sistemas conectados en busca de señales de compromiso

GTIG también señaló que el problema no se limita a la integración con Salesforce, y que todos los tokens de autenticación almacenados o conectados a la plataforma Drift deben considerarse potencialmente comprometidos.

Por su parte, Salesloft instruyó a los clientes que gestionan conexiones de Drift mediante API keys a revocar y generar nuevas claves. La empresa también proporcionó indicadores de compromiso (IOCs) y está colaborando con Mandiant y Coalition para investigar, remediar el incidente y asegurar la integridad de la plataforma.

Salesloft trabaja estrechamente con Salesforce y sus socios para restaurar todas las integraciones de Salesloft lo más rápido posible.

Fuente: https://www.securityweek.com/google-confirms-workspace-accounts-also-hit-in-salesforce-salesloft-drift-data-theft-campaign

Karmina Clemente