Andean Trade
Vulnerabilidad Integración de Salesloft Drift
Omar Canon Manrique
Notificación Importante 
- 
Vulnerabilidad Integración de Salesloft Drift 
/ 
Apreciado cliente, queremos notificar a través de este correo electrónico la siguiente información de carácter importante para que sea tomada en cuenta
|
Palo Alto Networks, a través de su unidad de inteligencia Unit 42, ha publicado una alerta sobre una campaña activa que ha comprometido múltiples instancias de Salesforce mediante la integración Salesloft Drift.
Durante el periodo comprendido entre el 8 y el 18 de agosto de 2025, actores maliciosos aprovecharon tokens OAuth comprometidos para acceder y extraer información sensible de Salesforce, incluyendo objetos como Account, Contact, Case y Opportunity.
Posteriormente, los atacantes habrían analizado los datos obtenidos en busca de credenciales adicionales y eliminado evidencias de sus consultas para evadir detección.
Riesgo principal
El incidente puede permitir a terceros no autorizados acceder a información sensible y potencialmente reutilizar credenciales o datos expuestos para ampliar su acceso dentro de las organizaciones.
Recomendaciones inmediatas
- Revisar y revocar accesos de Drift o Salesloft en Salesforce, solicitando re-autenticación donde sea necesario.
- Auditar registros de Salesforce y del IdP (inicio de sesión, API, eventos de autenticación) desde el 8 de agosto a la fecha actual, buscando patrones inusuales o agentes automatizados como Python/3.11 aiohttp/3.12.15.
- Rotar credenciales y tokens asociados a integraciones o aplicaciones conectadas a Salesforce.
- Revisar datos exfiltrados o sospechosos en busca de información sensible o credenciales almacenadas.
- Refrescar las políticas de acceso bajo principios de Zero Trust, asegurando mínimos privilegios y validaciones de identidad reforzadas.
Acciones de los proveedores
Salesloft revocó todos los tokens activos de Drift y solicitó a los administradores reautenticar las integraciones para restablecer el acceso seguro.
Palo Alto Networks Unit 42 continúa monitoreando la actividad relacionada e invita a los clientes a revisar sus indicadores de compromiso (IoCs) publicados en el informe oficial:
Mas información:
https://trust.salesloft.com/?uid=Drift%2FSalesforce+Security+Notification
https://unit42.paloaltonetworks.com/threat-brief-compromised-salesforce-instances/
EN CASO DE CUALQUIER INQUIETUD: CONTÁCTENOS
En ocasión de verse afectado por las vulnerabilidades reportadas previamente y cuenta con dudas al respecto o requiere asistencia, no dude en contactarnos a través de la línea telefónica de atención al cliente o abriendo un caso de soporte en nuestra herramienta ITSM Xelco para apoyarlo en la necesidad que tenga.