Una práctica habitual es que los equipos de seguridad de las grandes organizaciones realicen una investigación exhaustiva sobre sus proveedores de software. Normalmente buscan que se cumplan los principios de "seguridad por diseño" y se respeten las normativas de privacidad de datos, y en ocasiones realizan comprobaciones sobre los ingenieros que programan las aplicaciones, entre otras medidas.
Al igual que en las cadenas de suministro físicas, a menudo no es el proveedor principal el que causa los problemas, sino los proveedores de un proveedor. Eso parece ser lo que ocurrió en la filtración de datos que afectó a Salesforce a través de su integración con el agente de chat con IA de Salesloft, Drift.
Vulneración de la plataforma y extracción de datos
Desde principios hasta mediados de agosto de 2025, los atacantes vulneraron la plataforma de Salesloft para robar información de OAuth y actualizar tokens a partir de la integración de Drift con Salesforce. A continuación, los atacantes utilizaron los tokens para acceder a las instancias de los clientes de Salesforce y extraer datos como contactos e información de casos de asistencia.
Algunos ejemplos del tipo de datos que se robaron son:
- Nombres
- Direcciones de correo electrónico empresarial
- Números de teléfono de empresa
- Nombres de cargos
- Detalles de ubicación
- Contenido de ciertos casos de asistencia
La filtración inicial está causando una ola de vulneraciones para los clientes de Salesforce. Las pruebas demuestran que los atacantes utilizan los datos extraídos para encontrar credenciales de otros sistemas y así poder infiltrarse aún más en las organizaciones.
No hubo ninguna plataforma de Akamai implicada
Akamai también investigó este incidente para determinar si los atacantes podían hacer un uso indebido de los tokens OAuth para acceder a nuestra instancia de Salesforce. Descubrimos que solo se había expuesto un conjunto limitado de datos de los tickets de asistencia de servicio almacenados.
La exposición de Akamai fue muy limitada gracias a la eliminación automatizada de datos personales y confidenciales de los tickets de asistencia 120 días después del cierre, como parte de los estándares de privacidad y seguridad de Akamai. Además, no encontramos señales de un uso indebido de estos datos. Hemos notificado el incidente a los clientes afectados.
Este incidente se ciñó al entorno de Salesforce. El problema no alcanzó las plataformas ni los sistemas de red ni los servicios de producción de Akamai. Ningún dato de tráfico de clientes procesado en las plataformas de Akamai se vio comprometido. La integración afectada solo se utilizaba en Salesforce y desde entonces se ha eliminado.
Prácticas recomendadas a tener en cuenta
A la hora de proteger su organización contra riesgos de la cadena de suministro de software como este , es importante aplicar un enfoque multicapa que mitigue los posibles ataques y contenga rápidamente aquellos que se produzcan. También es esencial comprender la estrategia de seguridad de la organización, a fin de encontrar posibles lagunas o formas de evadir las protecciones de la cadena de suministro.
Para mitigar cualquier brecha que pueda existir, debe tener en cuentas las siguientes protecciones por capas para las API y las aplicaciones de IA/LLM (como el bot de chat Drift):
- Microsegmentación
- Firewall de aplicaciones web
- Seguridad de API
- Protección en el lado del cliente
- Gestión de bots
- Protección contra el robo de cuentas
Microsegmentación
La microsegmentación debería ser una prioridad en cualquier modelo de seguridad por capas, ya que reduce directamente el impacto de las brechas en la cadena de suministro y las API. Al aislar aplicaciones, cargas de trabajo e integraciones (como los chatbots de IA) en zonas estrictamente controladas, se limita el movimiento de los atacantes y se reduce la onda expansiva de los incidentes.
Esto significa que, incluso si se explotan tokens robados o API vulnerables, el riesgo queda contenido, los sistemas críticos permanecen protegidos y los equipos de respuesta obtienen una visibilidad clara para identificar la amenaza y actuar más rápido. La microsegmentación convierte una posible crisis para toda la organización en un evento controlado y manejable al proteger las operaciones, reducir el tiempo de inactividad y reforzar los principios Zero Trust donde más importa.
Firewall de aplicaciones web
Un firewall de aplicaciones web (WAF) proporciona la base de seguridad necesaria para defenderse de las amenazas modernas. Una tecnología WAF sólida actualiza y ajusta continuamente las protecciones para detectar anomalías en los patrones de tráfico y ayudar a identificar comportamientos incoherentes con el uso normal de las aplicaciones.
Un WAF que valore la fiabilidad de las fuentes de las solicitudes permite a las organizaciones bloquear el tráfico de direcciones IP sospechosas o maliciosas conocidas. El registro y la visibilidad completos proporcionan el contexto que los equipos de seguridad necesitan para investigar los incidentes y coordinar con protecciones adicionales.
Seguridad de API
Las protecciones específicas para API podrían haber ayudado a las empresas a detectar este ataque identificando comportamiento anómalo asociado a los tokens OAuth comprometidos. Incluso si el atacante hubiera utilizado credenciales válidas, sus patrones de actividad (como ejecutar consultas masivas a las API de Salesforce, acceder a datos desde direcciones IP inusuales y tratar de eliminar tareas para cubrir sus huellas) habrían diferido del perfil de uso normal.
Los análisis de comportamiento y la supervisión continua de Akamai están diseñados para detectar este tipo de irregularidades en tiempo real, lo que permite a los equipos de seguridad investigar y responder rápidamente antes de que se puedan filtrar grandes volúmenes de datos confidenciales.
Protección en el lado del cliente
Cuando las aplicaciones utilizan scripts o agentes para transferir información de un lado a otro en el navegador, es fundamental poder detectar los cambios en los scripts. ¿El script pide información que normalmente no pide? Un inventario de todos los scripts y una forma de marcar los cambios en ellos pueden evitar este tipo de ataques.
Gestión de bots
La fiabilidad en ladetección y la gestión de bots es muy importante, ya que los bots de IA/LLM son solo eso: bots. Es especialmente importante para los bots conocidos como el chatbot Drift, para el que la solución de gestión puede utilizar la firma y otras características definitorias para determinar si el bot es legítimo o un imitador, o si está demostrando comportamientos arriesgados en comparación con su funcionamiento normal.
Protección contra el robo de cuentas
Aunque en este caso estamos hablando de identidad no humana (la identidad del bot Drift), las soluciones de protección contra el robo de cuentas están diseñadas para detectar si alguien que no sea el propietario legítimo de la cuenta está utilizando las credenciales.
La asignación de una puntuación de riesgo al inicio de sesión puede impedir que el atacante obtenga acceso, y la supervisión del comportamiento puede detectar actividades de riesgo y finalizar la sesión si el atacante obtiene acceso.
Protección de aplicaciones de IA
Las aplicaciones basadas en IA generativa se reconocen cada vez más como vulnerabilidades empresariales. Si un atacante tiene acceso a la aplicación de IA, podría manipularla o cambiar sus mecanismos de protección para dar respuestas maliciosas o tóxicas a las indicaciones del usuario, o para extraer información directamente de la aplicación. Por tanto, las protecciones específicas son un importante enfoque por capas a la hora de proteger las aplicaciones de IA.
Aplique un enfoque de seguridad multicapa
Es probable que las organizaciones nunca dispongan de recursos para realizar las comprobaciones necesarias para todos los proveedores de su cadena de suministro de software. E incluso si encontraran algunas vulnerabilidades, probablemente no sería práctico evitar el uso de algunos de los principales proveedores de software ni pedir a esos proveedores que cambien de partner tecnológico.
Por este motivo, la solución más realista es aplicar un enfoque de seguridad multicapa para protegerse contra las infracciones de la cadena de suministro.
Etiquetas
