Google ha revelado que la reciente ola de ataques dirigidos a las instancias de Salesforce a través de SalesLoft Drift es mucho más amplia de lo que se pensaba anteriormente, afirmando que afecta todas las integraciones.
«Ahora asesoramos a todos los clientes de SalesLoft Drift que traten todos y cada uno de los tokens de autenticación almacenados o conectados a la plataforma de deriva como potencialmente comprometidos», dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un aviso actualizado.
El gigante de la tecnología dijo que los atacantes también usaron tokens OAuth robados para acceder al correo electrónico desde un pequeño número de cuentas de correo electrónico del espacio de trabajo de Google el 9 de agosto de 2025, después de comprometer los tokens OAuth para la integración del «correo electrónico de deriva». Vale la pena señalar que este no es un compromiso del espacio de trabajo de Google o el alfabeto en sí.
«Las únicas cuentas a las que se accedió potencialmente fueron aquellas que se habían configurado específicamente para integrarse con SalesLoft; el actor no habría podido acceder a ninguna otra cuenta en el dominio del espacio de trabajo de un cliente», agregó Google.
Después del descubrimiento, Google dijo que notificó a los usuarios impactados, revocó los tokens OAuth específicos otorgados a la aplicación de correo electrónico de deriva y deshabilitó la funcionalidad de integración entre Google Workspace y SalesLoft Drift en medio de una investigación continua sobre el incidente.
La compañía también insta a las organizaciones que usan SalesLoft Drift a revisar todas las integraciones de terceros conectadas a su instancia de deriva, revocar y rotar las credenciales para esas aplicaciones, e investigar todos los sistemas conectados para obtener signos de acceso no autorizado.
La ampliación del radio de ataque se produce poco después de que Google expuso lo que describió como una campaña de robo de datos generalizada y oportunista que permitió a los actores de amenaza, un clúster de actividad emergente denominado UNC6395, aprovechar las tokens OAuth comprometidas asociadas con la deriva de SalesLoft para dirigirse a instancias de la fuerza de ventas del 8 al 18 de agosto de 2025.
Desde entonces, Salesloft ha revelado que Salesforce ha desactivado temporalmente la integración de deriva entre Salesforce, Slack y Pardot, solo para seguirlo casi tres horas después, diciendo que Salesforce «ha elegido deshabilitar temporalmente todas las integraciones de SalesLoft con Salesforce».
«Según la investigación hasta la fecha, no hay evidencia de actividades maliciosas detectadas en las integraciones de SalesLoft relacionadas con el incidente de deriva», señaló. «Además, en este momento, no hay indicios de que las integraciones de SalesLoft estén comprometidas o en riesgo».