La compañía Palo Alto Networks ha confirmado que fue afectada por un ataque a la cadena de suministro, lo que resultó en el robo de datos de clientes de sus instancias de Salesforce.
Detalles de la Infracción
El incidente se originó en una aplicación de terceros, Salesloft’s Drift, y no comprometió ninguno de los productos o servicios de Palo Alto Networks. Tan pronto como la empresa supo del ataque, desconectó al proveedor de su entorno Salesforce e inició una investigación completa.
Los datos expuestos consisten principalmente en información de contacto comercial, detalles de cuentas de ventas internas y datos básicos de casos de clientes. La compañía declaró que está contactando a un «número limitado de clientes» cuyos datos más sensibles podrían haber sido expuestos.
El Ataque a la Cadena de Suministro
La campaña de robo de datos ocurrió entre el 8 y el 18 de agosto de 2025. Un actor de amenazas, rastreado por Google como UNC6395, aprovechó tokens de autenticación OAuth comprometidos de la integración de Salesloft Drift para obtener acceso no autorizado y robar grandes volúmenes de datos de los entornos corporativos de Salesforce.
El ataque ha afectado a otras empresas tecnológicas importantes, como la empresa de ciberseguridad Zscaler y Google. Según un informe de Unidad 42, el equipo de seguridad de Palo Alto Networks, los atacantes realizaron una exfiltración masiva de datos de Salesforce. El principal objetivo fue el robo de credenciales, ya que los piratas informáticos buscaban contraseñas y claves de acceso para otros servicios en la nube, como Amazon Web Services (AWS) y Snowflake, para facilitar futuros ataques.
Respuesta de la Industria
El 20 de agosto, Salesloft comenzó a notificar a los clientes afectados. En colaboración con Salesforce, se revocaron todos los tokens de acceso activos a la aplicación Drift para cortar la conexión, y Salesforce la eliminó temporalmente de su mercado AppExchange.
La Unidad 42 ha emitido recomendaciones urgentes para todas las organizaciones que usan la integración de Salesloft Drift, incluyendo la revisión de registros de Salesforce en busca de actividad sospechosa y el cambio inmediato de cualquier credencial que haya sido comprometida. El equipo de seguridad también aconsejó a las organizaciones que refuercen la seguridad con principios de Confianza Cero.
Campaña Adicional de Ingeniería Social
Paralelamente al incidente de Salesloft, se ha reportado una campaña de phishing de voz («vishing») atribuida al grupo “ShinyHunters” (también conocido como UNC6040). Desde mediados de 2025, este grupo se ha hecho pasar por personal de soporte de TI para engañar a los empleados y obtener acceso a sus instancias de Salesforce, afectando a numerosas corporaciones, incluyendo a Google y a marcas de lujo como LVMH y Chanel, así como a empresas de finanzas y seguros.
