El 2 de septiembre de 2025, Cloudflare confirmó haber sido víctima colateral de un sofisticado ataque cibernético dirigido a Salesloft Drift, una plataforma de chat utilizada por grandes empresas y conectada con Salesforce. La vulnerabilidad permitió a un grupo de ciberdelincuentes, conocido como GRUB1, acceder a información sensible almacenada en los casos de soporte de los clientes de Cloudflare entre el 12 y el 17 de agosto.
A pesar de que la infraestructura principal de Cloudflare no fue comprometida, el ataque expuso datos de contacto, descripciones de problemas técnicos e incluso posibles tokens o credenciales compartidos por los clientes en los tickets de soporte.
Este incidente no fue aislado a Cloudflare. Salesloft reconoció que los atacantes explotaron credenciales OAuth del chatbot Drift para infiltrarse en múltiples instancias de Salesforce. A través de un reconocimiento meticuloso de los objetos de datos, lograron una exfiltración masiva utilizando la Salesforce Bulk API 2.0. Este ataque en cadena pone de manifiesto los riesgos en la cadena de suministro SaaS, donde un solo punto de integración puede afectar a numerosas organizaciones.
Cloudflare informó que el acceso se limitó a los objetos “Case” de Salesforce, como nombres y contactos de los clientes, líneas de asunto, cuerpos de los tickets y comunicaciones relacionadas con los incidentes. No se vieron comprometidos los archivos adjuntos ni los servicios principales de Cloudflare. Sin embargo, el riesgo reside en los posibles tokens o contraseñas incluidos en el texto de los tickets, lo que llevó a la rotación proactiva de 104 tokens de API identificados en los datos comprometidos.
En respuesta al incidente, Cloudflare desplegó un equipo de respuesta a incidentes que implementó medidas como la desconexión total de Drift/Salesloft, la revocación de credenciales comprometidas y el análisis forense de logs y queries ejecutadas por los atacantes. Además, reforzaron las medidas preventivas mediante la rotación semanal de credenciales, nuevos controles de seguridad en integraciones y alertas por descargas masivas.
Este incidente resalta los riesgos asociados con las integraciones de terceros en el ecosistema SaaS. Para Cloudflare, el impacto fue limitado a los casos de soporte, pero la envergadura del ataque indica que GRUB1 busca credenciales reutilizables para posibles futuros ataques.
En cuanto a preguntas frecuentes, se insta a los clientes de Cloudflare a revisar los datos compartidos en sus casos de soporte y a rotar cualquier credencial o API key potencialmente comprometida. Además, se recomienda a las empresas revisar las integraciones SaaS, implementar el principio de menor privilegio y prohibir la inclusión de secretos en los tickets de soporte.
Más información y referencias en Noticias Cloud.
