Cerrar menú
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
What's Hot

Kyrexa launches £1.5m funding round for revolutionary Rimcazole canine cancer treatment

Microsoft investiga el robo de datos de Salesforce en tres vías relacionadas con ShinyHunters a lo largo de un año

El fabricante distribuidor de Hermès, Nous Research, en conversaciones para recaudar nueva financiación con una valoración de 1.500 millones de dólares

Facebook X (Twitter) Instagram
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
FySelf Noticias
  • Inicio
  • Identidad
  • Inventos
  • Futuro
  • Ciencia
  • Startups
  • English
FySelf Noticias
Home»Identidad»Microsoft investiga el robo de datos de Salesforce en tres vías relacionadas con ShinyHunters a lo largo de un año
Identidad

Microsoft investiga el robo de datos de Salesforce en tres vías relacionadas con ShinyHunters a lo largo de un año

corp@blsindustriaytecnologia.comBy corp@blsindustriaytecnologia.comjulio 14, 2026No hay comentarios9 minutos de lectura
Share Facebook Twitter Pinterest Telegram LinkedIn Tumblr Email Copy Link
Follow Us
Google News Flipboard
Share
Facebook Twitter LinkedIn Pinterest Email Copy Link

Los atacantes cuyas tácticas se alinean con el grupo de extorsión de datos ShinyHunters se han estado infiltrando en entornos corporativos de Salesforce durante el año pasado sin explotar una sola falla en la plataforma.

Esto fue impulsado por la confianza que la organización ya estaba brindando, generalmente a través de conexiones OAuth que conectan Salesforce con la aplicación y los proveedores externos circundantes.

En los hallazgos publicados el 13 de julio, Microsoft asignó campañas que se ejecutaron desde mediados de 2025 hasta mediados de 2026 con tres técnicas diferentes. También trabajamos con Salesforce para implementar nuevas herramientas de descubrimiento y gobernanza destinadas a abordar errores en los registros de autenticación de actividades.

Eso es lo que hace que esto sea tan difícil de detectar. Si el acceso proviene de un usuario real que ha autorizado la aplicación conectada, o de una integración en la que su empresa ya confía, el tráfico se considerará uso normal y probablemente no se registrará mediante el monitoreo de inicio de sesión y autenticación.

Lo que importa es lo que hace su aplicación o cuenta después de iniciar sesión, y eso es exactamente lo que la mayoría de los registros de Salesforce no están diseñados para mostrar.

Microsoft clasifica esta actividad en tres vías de entrada:

Llamadas en frío que engañan a los empleados para que aprueben aplicaciones conectadas maliciosas, tokens OAuth robados de proveedores de software comprometidos y acceso de invitados mal configurado a sitios de Salesforce.

Cada uno corresponde a incidentes en Salesforce durante el año pasado, y Microsoft dice que la actividad se ha observado en todos sus inquilinos en industrias como el comercio minorista, la educación y la fabricación.

teléfono

El primer pase es el pase donde comienza toda la ejecución. A partir de mediados de 2025, los atacantes realizaron llamadas de phishing (vishing) de voz haciéndose pasar por soporte de TI y convencieron a los empleados a través de la pantalla de consentimiento OAuth de Salesforce para que aprobaran una aplicación conectada controlada por el atacante disfrazada de la herramienta de carga de datos patentada de Salesforce.

Una vez que se otorga el consentimiento, la aplicación puede realizar llamadas API como ese usuario, lo que permite a un atacante enumerar los datos de Salesforce de una organización, mantener un acceso persistente a los registros de CRM y buscar credenciales que podrían abrir puertas a otras plataformas SaaS.

Sin malware ni reproducción de contraseñas robadas. Simplemente llame y haga clic en aceptar.

Esta es una campaña que Threat Intelligence Group (GTIG) de Google y Mandiant documentaron a mediados de 2025, rastreando el acceso inicial como UNC6040 y la extorsión posterior como UNC6240, los cuales continuaron afirmando ser ShinyHunters para mantenerse fuertes con la víctima.

Google confirmó que una de sus instancias de Salesforce fue atacada en junio de 2025 y los atacantes obtuvieron la mayoría de los datos públicos de contacto comercial antes de que Google cerrara la información. La misma ola se ha asociado públicamente con las filtraciones de Chanel y Pandora, y también ha señalado como objetivos a Adidas, Qantas, Allianz Life y varias marcas de LVMH.

El consejo de Mandiant a los defensores fue sencillo. Estas llamadas explotan el instinto de ayuda del servicio de asistencia técnica y las comprobaciones de identidad estándar a menudo no se aplican, por lo que lo más seguro es colgar y volver a llamar a un canal que sepa que es bueno.

Token robado de un proveedor de confianza

El segundo pase omite al empleado por completo. En lugar de phishing a los usuarios, los atacantes comprometen a proveedores externos cuyas aplicaciones ya tienen acceso OAuth a las organizaciones de Salesforce de sus clientes, roban secretos de conexión o tokens y los utilizan para consultar y exportar datos en muchas instancias posteriores a la vez.

Dado que el tráfico proviene de una integración aprobada, la alarma de inicio de sesión no se activará y se incluirá en su automatización habitual.

Microsoft cita aquí tres incidentes. La infracción de Salesloft Drift de agosto de 2025 es la más grande y obvia. El atacante robó tokens de OAuth y tokens de actualización asociados con la integración del chat de Drift AI y los usó contra un entorno de cliente de Salesforce.

Google estima que más de 700 organizaciones pueden haberse visto afectadas por el robo del token Drift, incluidas Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty y Tanium. Google rastrea el clúster como UNC6395. Se llama GRUB1 en Cloudforce One de Cloudflare.

Posteriormente, Salesloft determinó que la causa principal fue que un atacante obtuvo acceso a su cuenta de GitHub en marzo de 2025 y la utilizó para acceder al entorno AWS de Drift y recopilar tokens. Los operadores estaban allí para obtener información confidencial, ejecutar consultas SOQL para examinar casos de soporte y otros objetos en busca de claves de AWS, tokens Snowflake, contraseñas y luego eliminar trabajos de consulta para retrasar la investigación.

En el incidente de Gainsight de noviembre de 2025, se llevó a cabo el mismo acto contra otro proveedor. Salesforce eliminó la aplicación publicada por Gainsight después de descubrir actividad anómala en la API, y GTIG vinculó la campaña a los afiliados de ShinyHunters en más de 200 instancias de Salesforce afectadas.

Las personas detrás del nombre ShinyHunters afirmaron que las oleadas de Salesloft y Gainsight alcanzaron colectivamente a casi 1.000 organizaciones, pero este número no ha sido confirmado de forma independiente.

El último caso de junio de 2026 es la violación de Klue. Los atacantes se infiltraron en la plataforma de inteligencia competitiva a través de credenciales heredadas que quedaron de integraciones de prueba que desaparecieron hace mucho tiempo pero que nunca implementaron, impulsaron actualizaciones de código que recopilaron tokens OAuth de los clientes y los usaron para acceder a datos de Salesforce y Gong pertenecientes a los clientes de Klue, incluidos Huntress y Recorded Future.

Microsoft está rastreando al atacante de Klue como Storm-3138. Para quienes cotejan los informes, un problema con los nombres es que la mayoría de la industria, incluidos Huntress y Datadog, han vinculado la extorsión de Klue a un grupo que se hace llamar Icarus, y una cuenta de Telegram que se hace llamar ShinyHunters también se atribuye el mérito.

A medida que estas identidades se superponen y se afirman de manera oportunista, las etiquetas se vuelven borrosas, pero esto es cierto a lo largo de esta serie de campañas.

El acceso de invitados permanece abierto

El tercer pase no requiere ninguna credencial. Microsoft ha notado un aumento en la actividad sospechosa de usuarios invitados contra los puntos finales de Salesforce Aura, el marco detrás de los sitios de Experience Cloud. Si los permisos del usuario invitado se configuraron incorrectamente, un atacante podría acceder a la funcionalidad de Aura sin autenticación.

Llamaron a un controlador GraphQL Aura y utilizaron paginación basada en cursor para recuperar registros más allá del límite de consulta estándar de 2000 registros y terminaron con mucho más de lo que el rol de Invitado pretendía exponer.

Las detecciones asociadas de Microsoft hacen referencia a la herramienta AuraInspector utilizada para investigar estos puntos finales. No se incluyeron exploits. La organización permitió que los papeles invitados vieran más de lo que necesitaban y los actores leyeran todo lo valioso.

Lo que Microsoft y Salesforce envían para detenerlo

Las señales que existen existen en lo que sucede después del acceso: qué aplicación conectada realizó la llamada, qué alcances de OAuth tiene la aplicación conectada, la cantidad de consultas y si alguna de ellas está en buen estado para el inquilino.

Microsoft se asoció con Salesforce para revelar precisamente eso con Defender para aplicaciones en la nube. Para los clientes que ejecutan el monitoreo de eventos de Salesforce Shield, el conector de Salesforce actualizado incorpora el marco de monitoreo de eventos en tiempo real para una detección casi en tiempo real, agrega atribución de aplicaciones conectadas para vincular la actividad a una identificación de aplicación específica y los alcances de OAuth que se le otorgan, y agrega más sesiones y contexto de API.

Además del descubrimiento, Microsoft ha agregado funciones de postura y gobernanza para aplicaciones OAuth conectadas. Esto incluye una vista de aplicaciones con privilegios elevados que tienen alcances elevados, una forma de ver aplicaciones no utilizadas que han estado inactivas durante más de 90 días mientras mantienen privilegios activos y una puntuación de riesgo de 0 a 100 para cada aplicación a la que su equipo puede conectar alertas y políticas.

El objetivo es encontrar integraciones olvidadas y con exceso de permisos antes que otros.

Reducir la superficie de ataque de OAuth

La guía de Microsoft es práctica y consistente con lo que los proveedores han dicho después de cada incidente. Conecte su instancia de Salesforce a Defender for Cloud Apps para obtener telemetría adicional, active los registros de eventos de Salesforce para el monitoreo en vivo y bloquee el acceso de los usuarios invitados en Experience Cloud.

Son comunes las soluciones permanentes que van más allá de los pasos específicos del producto. Haga un inventario de sus aplicaciones conectadas, elimine aquellas que nadie usa, limite las aplicaciones restantes a privilegios mínimos y prepárese para revocar y rotar tokens en el momento en que una integración comience a comportarse de manera extraña.

El patrón para los tres caminos es el mismo. Los controles de identidad que la mayoría de las empresas han creado durante la última década se crearon para inicios de sesión humanos, incluidos MFA, acceso condicional y políticas de sesión. Las aplicaciones OAuth, las cuentas de integración y las credenciales de servicio que realizan el trabajo real dentro de una pila moderna de Salesforce están en gran medida fuera de esa pila, no están supervisadas y tienen exceso de privilegios.

Los atacantes que descubrieron esto ejecutaron el programa durante un año y más de una vez fue algo tan inusual como una credencial que alguien olvidó apagar.

Hacker News se comunicó con Microsoft para obtener más información sobre la atribución de los atacantes detrás de estas campañas y actualizará este artículo si recibimos una respuesta.


Source link

#BlockchainIdentidad #Ciberseguridad #ÉticaDigital #IdentidadDigital #Privacidad #ProtecciónDeDatos
Follow on Google News Follow on Flipboard
Share. Facebook Twitter Pinterest LinkedIn Tumblr Email Copy Link
Previous ArticleEl fabricante distribuidor de Hermès, Nous Research, en conversaciones para recaudar nueva financiación con una valoración de 1.500 millones de dólares
Next Article Kyrexa launches £1.5m funding round for revolutionary Rimcazole canine cancer treatment
corp@blsindustriaytecnologia.com
  • Website

Related Posts

El malware CrashStealer para macOS utiliza un cuentagotas notariado para pasar las comprobaciones del guardián

julio 13, 2026

Google y Microsoft retiran 1,6 millones de instalaciones de ModHeader después de descubrir un recopilador inactivo

julio 13, 2026

ShareFile Threat, Citrix Bleed 2 Ransomware, AI Coding Attacks, and More

julio 13, 2026
Add A Comment
Leave A Reply Cancel Reply

el último

Kyrexa launches £1.5m funding round for revolutionary Rimcazole canine cancer treatment

Microsoft investiga el robo de datos de Salesforce en tres vías relacionadas con ShinyHunters a lo largo de un año

El fabricante distribuidor de Hermès, Nous Research, en conversaciones para recaudar nueva financiación con una valoración de 1.500 millones de dólares

Satya Nadella lanza una impactante advertencia a las empresas que utilizan IA

Publicaciones de tendencia

Suscríbete a las noticias

Suscríbete a nuestro boletín informativo y no te pierdas nuestras últimas noticias.

Suscríbete a mi boletín informativo para recibir nuevas publicaciones y consejos. ¡Manténgase al día!

Noticias Fyself es un medio digital dedicado a brindar información actualizada, precisa y relevante sobre los temas que están moldeando el futuro: economía, tecnología, startups, invenciones, sostenibilidad y fintech.

el último

TwinH Presenta una Tecnología Revolucionaria para Cocinas Inteligentes

¡Conoce a tu gemelo digital! La IA de vanguardia de Europa que está personalizando la medicina

TwinH: El cambio de juego de la IA para servicios legales más rápidos y accesibles

Facebook X (Twitter) Instagram Pinterest YouTube
  • Home
  • Contáctenos
  • DMCA
  • Política de Privacidad
  • Sobre Nosotros
  • Términos y Condiciones
  • 📢 Anúnciate con Nosotros
  • Enviar publicaciones
© 2026 noticias.fyself. Designed by noticias.fyself.

Escribe arriba y pulsa Enter para buscar. Pulsa Esc para cancelar.