top of page
Buscar

Cuando la confianza se convierte en un arma: dentro de las campañas de ataque de UNC6040 y UNC6395 Salesforce

En el entorno empresarial interconectado actual, plataformas como Salesforce se han convertido en la columna vertebral de la gestión de relaciones con los clientes para miles de organizaciones


Cuando la confianza se convierte en un arma: dentro de las campañas de ataque de UNC6040 y UNC6395 Salesforce

con el marco de autenticación OAuth revolucionando la forma en que las empresas conectan sus herramientas y optimizan los flujos de trabajo a través de integraciones seguras de terceros.


Sin embargo, el panorama de la ciberseguridad fue testigo de una escalofriante demostración de la sofisticación de los ataques modernos cuando dos grupos de amenazas, UNC6040 y UNC6395, orquestaron campañas separadas pero igualmente devastadoras dirigidas a entornos de Salesforce, proporcionando una respuesta aleccionadora a lo que sucede cuando esta confianza se convierte en la base misma de un ataque. Lo que hace que estos ataques sean particularmente inquietantes no es solo su escala, sino cómo armaron los mismos mecanismos de confianza diseñados para hacer que las operaciones comerciales sean fluidas, convirtiendo las características de seguridad previstas de OAuth en vectores de compromiso.


Descripción de la superficie expuesta a ataques


Los tokens de OAuth 2.0 representan un componente de infraestructura crítico que permite un control de acceso seguro y granular entre aplicaciones sin compartir credenciales. En escenarios comerciales legítimos, cuando Salesforce se integra con plataformas de automatización de marketing como HubSpot o Marketo, los tokens OAuth facilitan la sincronización perfecta de datos mientras mantienen los límites de seguridad. Esta capa de abstracción proporciona comodidad y seguridad, cuando se implementa y supervisa correctamente.


Características clave del ataque:


  • Explotación del ciclo de vida del token: a diferencia del robo tradicional de credenciales, los tokens de OAuth a menudo tienen períodos de validez extendidos y capacidades de actualización, lo que proporciona acceso sostenido sin eventos de autenticación repetidos que podrían activar alertas de seguridad.


  • Abuso de límites de confianza: los tokens de OAuth heredan los permisos del usuario autorizante, lo que potencialmente otorga un amplio acceso a través de sistemas integrados, un vector de escalada de privilegios que elude los controles de acceso tradicionales.


  • Registro de puntos ciegos: las llamadas a la API autenticadas por OAuth a menudo se mezclan con el tráfico legítimo de la aplicación, lo que dificulta la detección sin un monitoreo granular de la API y análisis de comportamiento.


UNC6040: La ingeniería social se une a la explotación de API


Desde octubre de 2024, UNC6040 ha estado perfeccionando una metodología de ataque particularmente insidiosa que combina la ingeniería social de la vieja escuela con la explotación técnica de vanguardia.


La llamada telefónica perfecta: UNC6040 operadores realizan un reconocimiento exhaustivo antes de llamar, haciéndose pasar por soporte de TI que informa "problemas de conectividad empresarial". Demuestran un conocimiento íntimo de los sistemas internos, los procesos y los tickets actuales, lo que hace que su urgencia sea convincente y creíble.


Explotación técnica: El ataque aprovecha el marco legítimo de aplicaciones conectadas de Salesforce:


  • Al usar cuentas de prueba de Salesforce para registrar aplicaciones maliciosas, los atacantes evitan la detección mientras mantienen la apariencia de integraciones auténticas de terceros


  • Se guía a las víctimas para que https://login.salesforce.com/setup/connect autoricen estas aplicaciones


  • Una vez aprobado, los atacantes obtienen acceso persistente a la API omitiendo:

  • Autenticación multifactor

  • Restablecimiento de contraseña

  • Monitoreo de inicio de sesión tradicional

  • Controles de acceso basados en IP


Las consecuencias: Con el acceso a la API asegurado, UNC6040 filtra sistemáticamente datos a través de consultas legítimas de Salesforce, lo que hace que la detección sea casi imposible. Las víctimas enfrentan demandas de extorsión de grupos afiliados a ShinyHunters días o meses después.


UNC6395: Compromiso de la cadena de suministro de OAuth


UNC6395 demostró cómo las integraciones confiables se convierten en autopistas de ataque al comprometer tokens OAuth para Salesloft Drift, una plataforma de chatbot de IA conectada a numerosas instancias de Salesforce.


  • El exploit de confianza: en lugar de atacar las plataformas directamente, UNC6395 apuntó a los tokens OAuth que permiten las integraciones. Los tokens comprometidos otorgaron a los atacantes permisos idénticos que las organizaciones habían otorgado voluntariamente a servicios legítimos.


  • Minería metódica de datos: El enfoque de UNC6395 fue quirúrgico:

  • Consultas de reconocimiento para asignar el ámbito de destino y el valor de los datos

  • Búsqueda sistemática de credenciales para claves de AWS, credenciales de Snowflake, URL de VPN/SSO y cualquier cadena que contenga "contraseña", "secreto" o "clave"


Efecto cascada: El verdadero alcance surgió el 28 de agosto de 2025: UNC6395 también había comprometido los tokens OAuth de Google Workspace, accediendo a cuentas de correo electrónico de organizaciones que usaban la integración de Google de Drift. La rápida revocación de tokens de Google llegó demasiado tarde para evitar la exposición de datos.


Las implicaciones más amplias: repensar la seguridad de las API


Más allá de la seguridad perimetral tradicional


Estas campañas representan un cambio fundamental en la forma en que debemos pensar sobre la ciberseguridad. Los modelos de seguridad tradicionales basados en el perímetro se desmoronan cuando el vector de ataque es una integración legítima y autorizada. Cuando los tokens OAuth brindan acceso que parece completamente normal para los sistemas de seguridad, ¿cómo detectamos la diferencia entre las operaciones comerciales legítimas y el robo de datos?


Ambas campañas exponen la misma verdad fundamental: los atacantes ya no necesitan derribar la puerta principal cuando los usuarios con gusto les entregarán las llaves.


La conclusión


La postura de seguridad de su organización es tan sólida como:


  • La capacidad de sus usuarios para reconocer la ingeniería social sofisticada

  • Su visibilidad del comportamiento de las aplicaciones autorizadas

  • Sus procesos para administrar integraciones de terceros


El perímetro no es solo su red, es cada persona que puede autorizar una aplicación y cada servicio en el que confía sus datos. UNC6040 y UNC6395 han demostrado que los atacantes entienden esta realidad mejor que la mayoría de los defensores.


La pregunta fundamental no es si sus controles técnicos son lo suficientemente fuertes, sino si su gente y sus procesos pueden distinguir entre solicitudes legítimas y engaños elaborados por expertos.


Más allá de la detección: validación proactiva de la seguridad de la API


Si bien comprender el panorama de amenazas es crucial, las organizaciones necesitan formas prácticas de validar sus defensas antes de que lo hagan los atacantes. Aquí es donde las pruebas de seguridad continuas se vuelven esenciales, no como una evaluación única, sino como una parte integral de sus operaciones de seguridad.


Las pruebas de seguridad de la API de RidgeBot abordan esta brecha crítica proporcionando una evaluación integral de la vulnerabilidad de la API en entornos controlados. La plataforma ayuda a las organizaciones a identificar y explotar de manera segura las posibles vulnerabilidades de las API antes de que los actores maliciosos puedan aprovecharlas. RidgeBot sobresale tanto en escenarios de prueba de caja negra, donde los probadores operan sin credenciales para simular atacantes externos, como en entornos de prueba de caja gris, que replican las condiciones de un atacante que ha obtenido acceso autenticado parcial a través de ingeniería social o compromiso de tokens.


La fortaleza de la plataforma radica en su enfoque holístico para la validación de la seguridad de las API. Más allá del escaneo tradicional de vulnerabilidades, RidgeBot evalúa el alcance y las limitaciones de los tokens de autenticación individuales, pone a prueba la lógica empresarial que rige los flujos de trabajo de las API y supervisa continuamente los patrones de comportamiento de las API. Esta cobertura integral garantiza que las organizaciones comprendan no solo si sus API pueden verse comprometidas, sino también hasta qué punto pueden explotarse si un atacante obtiene acceso.


Al combinar la detección automatizada de vulnerabilidades con la identificación de fallos de lógica empresarial, RidgeBot ayuda a las organizaciones a implementar el principio de defensa en profundidad para su ecosistema de API. Incluso si la ingeniería social sofisticada logra comprometer las credenciales de usuario o los tokens de la aplicación, los controles de seguridad de API sólidos pueden limitar significativamente el radio de explosión de un ataque exitoso convirtiendo lo que podría ser una violación catastrófica en un incidente contenido.



Tomado de: Ridge Security



Comentarios

bottom of page