Los atacantes cuyos métodos se alinean con los del grupo de extorsión de datos ShinyHunters pasaron el año pasado ingresando a entornos corporativos de Salesforce sin explotar una sola falla en la plataforma.
La forma de entrar ha sido la confianza que la organización ya había extendido, generalmente a través de las conexiones OAuth que vinculan a Salesforce con las aplicaciones y los proveedores externos que la rodean.
En una investigación publicada el 13 de julio, Microsoft mapeó las campañas, que se desarrollaron desde mediados de 2025 hasta mediados de 2026, en tres técnicas distintas. También trabajó con Salesforce para implementar nuevas herramientas de detección y gobernanza destinadas a abordar los registros de autenticación de actividad perdidos.
Eso es lo que hace que esto sea difícil de detectar. Cuando el acceso proviene de un usuario real que aprobó una aplicación conectada, o de una integración en la que la empresa ya confía, el tráfico se lee como uso normal y el monitoreo de inicio de sesión y autenticación apenas lo registra.
Lo que importa es lo que hace la aplicación o cuenta una vez que está dentro, y eso es exactamente para lo que la mayoría de los registros de Salesforce no fueron creados para mostrar.
Microsoft agrupa la actividad en tres rutas de intrusión:
- llamadas vishing que engañan a los empleados para que aprueben una aplicación conectada maliciosa,
- tokens OAuth robados de proveedores de software comprometidos, y
- acceso de invitados mal configurado a sitios de Salesforce.
Cada uno se corresponde con un incidente de Salesforce del año pasado, y Microsoft dice que vio la actividad entre inquilinos en industrias que incluyen el comercio minorista, la educación y la fabricación.
la llamada telefonica
El primer camino es el que inició todo el recorrido. A partir de mediados de 2025, los actores realizaron llamadas de phishing de voz (vishing) haciéndose pasar por soporte de TI y hablaron con los empleados a través de la pantalla de consentimiento OAuth de Salesforce, logrando que autorizaran una aplicación conectada controlada por un atacante disfrazada de la propia herramienta de carga de datos de Salesforce.
Una vez que se otorgaba el consentimiento, la aplicación podía realizar llamadas API como ese usuario, permitiendo a los atacantes enumerar los datos de Salesforce de la organización, mantener acceso persistente a los registros de CRM y buscar credenciales que pudieran abrir la puerta a otras plataformas SaaS.
Sin malware, sin repetición de contraseñas robadas. Sólo una llamada telefónica y un clic de consentimiento.
Esta es la campaña que el Threat Intelligence Group (GTIG) de Google y Mandiant documentaron a mediados de 2025, rastreando el acceso inicial como UNC6040 y la extorsión posterior como UNC6240, los cuales seguían afirmando ser ShinyHunters para apoyarse más en las víctimas.
Google confirmó que una de sus propias instancias corporativas de Salesforce fue atacada en junio de 2025, y los atacantes tomaron datos de contactos comerciales en gran medida públicos antes de que Google los cortara. La misma ola se vinculó públicamente con violaciones en Chanel y Pandora, con Adidas, Qantas, Allianz Life y varias marcas de LVMH también mencionadas como objetivos.

El consejo de Mandiant a los defensores fue contundente: estas llamadas explotan el instinto de ayuda de la mesa de ayuda, los controles de identidad estándar a menudo no se aplican y la medida segura es colgar y volver a llamar a un canal que se sabe que es bueno.
Tokens robados de proveedores confiables
El segundo camino omite por completo al empleado. En lugar de hacer phishing a un usuario, los atacantes comprometen a un proveedor externo cuya aplicación ya tiene acceso OAuth a las organizaciones de Salesforce de sus clientes, roban los secretos o tokens de conexión y los utilizan para consultar y exportar datos en muchas instancias posteriores a la vez.
Debido a que el tráfico proviene de una integración aprobada, no activa alarmas de inicio de sesión y se integra con la automatización normal.
Microsoft señala tres incidentes aquí. El compromiso de Salesloft Drift de agosto de 2025 es el más grande y claro: los atacantes robaron OAuth y tokens de actualización vinculados a la integración del chat de Drift AI y los utilizaron contra los entornos de los clientes de Salesforce.
Google estimó que el robo del token Drift expuso potencialmente a más de 700 organizaciones, entre ellas Cloudflare, Zscaler, Palo Alto Networks, Proofpoint, PagerDuty y Tanium. Google rastrea el clúster como UNC6395; Cloudforce One de Cloudflare lo llama GRUB1.
Posteriormente, Salesloft rastreó la causa raíz hasta el acceso del atacante a su cuenta de GitHub ya en marzo de 2025, que se utilizó para llegar al entorno AWS de Drift y recolectar los tokens. Los operadores estaban allí en busca de secretos, ejecutando consultas SOQL para examinar casos de soporte y otros objetos en busca de claves de AWS, tokens Snowflake y contraseñas, y luego eliminando sus trabajos de consulta para ralentizar a cualquiera que investigara.
El incidente de Gainsight de noviembre de 2025 ejecutó la misma jugada contra un proveedor diferente. Salesforce retiró las aplicaciones publicadas por Gainsight después de detectar una actividad API inusual, y GTIG vinculó la campaña a los afiliados de ShinyHunters en más de 200 instancias de Salesforce afectadas.
Las personas detrás del nombre ShinyHunters afirmaron que las ondas Salesloft y Gainsight alcanzaron juntas cerca de 1.000 organizaciones, una cifra que no ha sido confirmada de forma independiente.
El caso más reciente, de junio de 2026, es el compromiso de Klue. Los atacantes ingresaron a la plataforma de inteligencia competitiva a través de una credencial heredada que estuvo en desuso durante mucho tiempo pero aún activa, sobrante de una integración de prueba que nunca se implementó, impulsaron una actualización de código que recolectó los tokens OAuth de los clientes y los usaron para acceder a los datos de Salesforce y Gong pertenecientes a los clientes de Klue, incluidos Huntress y Recorded Future.
Microsoft rastrea al actor de Klue como Storm-3138. Un problema de nomenclatura para cualquiera que haga referencias cruzadas de informes: la mayor parte de la industria, incluidos Huntress y Datadog, vincula la extorsión de Klue a un grupo que se hace llamar Icarus, y una cuenta de Telegram que afirma ser ShinyHunters también se atribuyó el mérito.
Las etiquetas se desdibujan porque estas identidades se superponen y se reivindican de manera oportunista, lo que se mantiene en todo este conjunto de campañas.
Acceso de invitados dejado abierto
El tercer camino no necesita ninguna credencial. Microsoft vio un aumento en la actividad sospechosa de usuarios invitados contra los puntos finales de Salesforce Aura, el marco detrás de los sitios de Experience Cloud. Cuando los permisos de los usuarios invitados estaban mal configurados, los actores accedían a la funcionalidad de Aura sin autenticarse.
Al llamar al controlador GraphQL Aura, utilizaron paginación basada en cursor para extraer registros más allá del límite de consulta estándar de 2000 registros, obteniendo mucho más de lo que el rol de invitado debía exponer.
La detección relacionada de Microsoft apunta a las herramientas AuraInspector utilizadas para sondear estos puntos finales. No hubo ningún exploit involucrado. La organización había dejado que el papel de invitado pudiera ver más de lo que debería, y los actores lo leyeron con todo lo que valía.
Lo que Microsoft y Salesforce enviaron para atraparlo
La señal que sí existe reside en lo que sucede después del acceso: qué aplicación conectada realizó una llamada, qué alcances de OAuth tiene, cuánto está consultando y si algo de eso es normal para el inquilino.
Microsoft trabajó con Salesforce para mostrar exactamente eso en Defender para aplicaciones en la nube. Para los clientes que ejecutan Salesforce Shield Event Monitoring, el conector de Salesforce actualizado incorpora el marco de monitoreo de eventos en tiempo real para una detección casi en tiempo real y agrega atribución de aplicaciones conectadas, vinculando la actividad a una identidad de aplicación específica y sus alcances OAuth otorgados, junto con más contexto de sesión y API.
Además de la detección, Microsoft agregó funciones de postura y gobernanza para las aplicaciones OAuth conectadas: una vista de aplicaciones altamente privilegiadas que tienen alcances elevados, una forma de mostrar aplicaciones no utilizadas que han permanecido inactivas durante 90 días o más mientras mantienen permisos activos, y una puntuación de riesgo de 0 a 100 por aplicación que los equipos pueden conectar a alertas y políticas.
El objetivo es encontrar las integraciones olvidadas y con permisos excesivos antes de que alguien más lo haga.
Reducir la superficie de ataque de OAuth
La guía de Microsoft es práctica y coincide con lo que dijeron los proveedores después de cada incidente: conecte instancias de Salesforce a Defender para aplicaciones en la nube para obtener telemetría adicional, active y observe los registros de eventos de Salesforce y bloquee el acceso de los usuarios invitados a Experience Cloud.
Más allá de los pasos específicos del producto, las soluciones duraderas son las conocidas. Haga un inventario de las aplicaciones conectadas, elimine las que nadie usa, limite el resto al privilegio mínimo y prepárese para revocar y rotar tokens en el momento en que una integración comience a comportarse de manera extraña.
El patrón bajo los tres caminos es el mismo. Los controles de identidad que la mayoría de las empresas dedicaron a construir durante la última década se crearon para inicios de sesión humanos: MFA, acceso condicional y políticas de sesión. Las aplicaciones OAuth, las cuentas de integración y las credenciales de servicio que realizan el trabajo real en una pila moderna de Salesforce en su mayoría se encuentran fuera de ella, sin vigilancia y con exceso de permisos.
Los atacantes que descubrieron esto lo utilizaron durante un año y, más de una vez, la entrada no fue nada más exótica que una credencial que alguien olvidó apagar.
The Hacker News se comunicó con Microsoft para obtener más detalles sobre la atribución de los actores detrás de estas campañas y actualizará esta historia con cualquier respuesta.