En un revelador incidente de seguridad, Google ha confirmado que más de 200 empresas han sido víctimas de un robo de datos a gran escala, relacionado con una violación en Salesforce. El ataque se produjo a través de aplicaciones gestionadas por Gainsight, una plataforma que brinda soporte al cliente. Esta brecha de datos ha suscitado serias preocupaciones sobre la seguridad de la información almacenada en la nube.
El jueves, Salesforce anunció la intrusión, aunque no reveló los nombres de las empresas afectadas, lo que ha generado aún más incertidumbre en el sector.
Austin Larsen, analista principal del Google Threat Intelligence Group, mencionó que hay constancia de más de 200 instancias de Salesforce que podrían haber sido comprometidas en este ataque.
Detalles del ataque y responsables
En la misma jornada, un grupo de hackers conocido como Scattered Lapsus$ Hunters, que incluye a la infame banda ShinyHunters, se atribuyó la responsabilidad del ataque a través de un canal de Telegram. Este grupo no es nuevo en el ámbito del cibercrimen y ha estado detrás de varios ataques de alto perfil, afectando a empresas como Atlassian, Docusign y Verizon.
A pesar de las reclamaciones del grupo, Google se ha abstenido de comentar sobre las víctimas específicas de este ataque. Por su parte, un portavoz de CrowdStrike, otra compañía mencionada, aseguró que no fueron afectados por este problema, manteniendo la seguridad de los datos de sus clientes intacta.
Las implicaciones de la brecha de datos
Los hackers de ShinyHunters afirmaron haber conseguido acceso a Gainsight gracias a una campaña anterior que se enfocaba en los clientes de Salesloft.
En ese incidente, lograron robar tokens de autenticación de Drift, lo que les permitió infiltrarse en las instancias de Salesforce de sus víctimas. Gainsight, al reconocer que también fue víctima en esa campaña, admitió que su seguridad se vio comprometida.
Respuestas de las empresas afectadas
En su comunicado, Salesforce afirmó que no hay indicios de que la brecha se haya originado por una vulnerabilidad en su plataforma, distanciándose así de la responsabilidad por la pérdida de datos.
La compañía ha comenzado a revocar tokens de acceso activos para las aplicaciones conectadas a Gainsight en un intento por mitigar el daño mientras continúan las investigaciones.
Gainsight ha estado actualizando a sus usuarios sobre el progreso de la investigación en su página de incidentes. El viernes, la empresa comunicó que están colaborando con la unidad de respuesta a incidentes de Mandiant para esclarecer lo sucedido. Se ha informado que el ataque se originó a partir de una conexión externa de las aplicaciones, no de una falla en la infraestructura de Salesforce.
Proyecciones futuras y precauciones necesarias
Scattered Lapsus$ Hunters no solo ha hecho público su ataque, sino que también han anunciado planes para lanzar un sitio web dedicado a extorsionar a las víctimas de esta reciente campaña. Este modus operandi refleja sus acciones anteriores, donde también publicaron sitios similares tras ataques previos a datos de Salesforce.
La creciente preocupación sobre la seguridad de la información ha llevado a expertos a recomendar a las empresas que realicen auditorías de sus entornos de SaaS y revisen todas las aplicaciones de terceros conectadas a sus sistemas. La gestión de accesos y la revocación de tokens de aplicaciones sospechosas son medidas fundamentales para protegerse contra futuros incidentes de seguridad.
