Google confirmó que la brecha de OAuth en Salesloft no se limita a Salesforce, como se pensaba inicialmente, sino que afecta a todas las integraciones SaaS conectadas mediante tokens OAuth. El grupo atacante, identificado como UNC6395, explotó debilidades en OAuth entre el 8 y el 18 de agosto de 2025 para suplantar aplicaciones, acceder a datos sensibles de clientes y moverse lateralmente entre ecosistemas SaaS.
Este incidente pone de manifiesto el riesgo inherente de las cadenas de confianza basadas en OAuth: cuando una sola aplicación en la cadena es comprometida, cada servicio conectado puede verse afectado.
Anatomía Técnica de la Brecha
Punto de Entrada: Abuso de Tokens OAuth
- Los atacantes obtuvieron tokens OAuth válidos emitidos por integraciones de Salesloft.
- Estos tokens les dieron acceso directo a APIs de clientes sin necesidad de reautenticación.
- Con ellos, pudieron suplantar aplicaciones legítimas, evadiendo MFA y alertas de inicio de sesión.
Más Allá de Salesforce: El “Blast Radius” Completo de OAuth
- Respuesta inicial: Salesforce deshabilitó integraciones de Salesloft al detectar actividad anómala.
- Nuevos hallazgos de Google: todas las integraciones SaaS con tokens de Salesloft podían verse afectadas, incluyendo:
- Google Workspace (Gmail, Drive, Calendar)
- Aplicaciones de Microsoft 365
- CRMs como Drift y HubSpot
- Plataformas de comunicación como Slack y Teams
Campaña Más Amplia de UNC6395
- Se descubrió explotación paralela contra Drift (herramienta de comunicación con clientes) en el mismo periodo.
- Esto indica una campaña sistemática de UNC6395 enfocada en SaaS basados en OAuth.
- Coincide con sus TTPs previos: atacar cadenas de confianza SaaS a través del secuestro de tokens.
Flujo de Explotación — Cómo Funcionó
- Emisión del Grant OAuth
- Un usuario/admin autoriza a Salesloft para acceder a Salesforce o Google.
- Se genera y almacena un token OAuth.
- Robo o Secuestro del Token
- A través de una configuración errónea de API, registros expuestos o phishing dirigido a administradores.
- Uso del Token por el Atacante
- El token concede acceso directo a emails, datos de CRM, calendarios y archivos.
- Sin MFA, sin notificaciones de inicio de sesión.
- Expansión Lateral
- El atacante pivota: Salesforce → Google Workspace → Slack.
- Persistencia
- Los tokens siguen siendo válidos hasta que se revocan → acceso silencioso a largo plazo.
Impactos Potenciales
- Exfiltración de datos: PII de clientes, inteligencia de ventas, emails y calendarios.
- Abuso de credenciales: Uso de datos de CRM para campañas de phishing dirigido.
- Impacto financiero: Disrupción de operaciones comerciales, daño reputacional, multas por cumplimiento.
- Exposición en cadena de suministro: cualquier SaaS conectado vía OAuth en riesgo.
Ejemplos Reales de Explotación
- Ejemplo 1: Movimiento lateral en SaaS
Atacante compromete Salesloft → accede a Salesforce → extrae datos de clientes → pivota a Google Workspace → roba propuestas sensibles. - Ejemplo 2: Campaña BEC
Con acceso a CRM, lanza phishing altamente dirigido desde dominios confiables (ej. Slack/Teams) → solicita transferencias fraudulentas. - Ejemplo 3: Minería de datos silenciosa
Con tokens válidos, el atacante extrae continuamente invitaciones de calendario y correos → inteligencia corporativa.
Contexto Más Amplio
Este caso recuerda al ataque de Storm-0558 en 2023 contra la nube de Microsoft, donde tokens OAuth forjados dieron acceso a correos de agencias gubernamentales.
La tendencia es clara:
- Las contraseñas ya no son el objetivo principal.
- Los tokens = acceso directo a APIs con menos supervisión.
Mitigación y Defensa
Para Equipos de Seguridad
- Revocar y rotar tokens: Inmediatamente para Salesloft y Drift.
- Auditar grants OAuth: Revisar apps con acceso persistente a SaaS.
- Restringir scopes: Aplicar privilegio mínimo en integraciones.
- Monitorear llamadas API: Detectar exportaciones masivas o anómalas.
- Reducir vida útil de tokens: Usar tokens de corta duración con refresh seguro.
Para Proveedores SaaS
- Controles de acceso condicional: Basados en dispositivo, geolocalización o reputación IP.
- Revocar tokens por anomalías: Invalidarlos ante uso sospechoso.
- Zero-Trust en integraciones: No asumir confianza por defecto.
- Red Teaming continuo: Simular escenarios de abuso de OAuth en pruebas de seguridad.
La brecha de OAuth en Salesloft no es un incidente aislado, sino una advertencia sobre la fragilidad de las cadenas de confianza en SaaS empresariales.
El atacante no necesita irrumpir directamente en tu entorno: si compromete una integración de confianza, hereda tu acceso.
La industria debe avanzar hacia modelos de zero-trust en integraciones SaaS, minimizar el uso de tokens y monitorear de forma continua. De lo contrario, cada conexión OAuth es un caballo de Troya en la cadena de suministro digital.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.