La reciente copa masiva de tokens de autenticación de Salesloft, cuyo chatbot de IA es utilizado por una amplia franja de América corporativa para convertir la interacción de los clientes en los clientes potenciales de Salesforce, ha dejado a muchas compañías que se compiten para invalidar las credenciales robadas antes de que los piratas informáticos puedan explotarlos. Ahora Google advierte que la violación va mucho más allá del acceso a los datos de Salesforce, señalando que los piratas informáticos responsables también robaron tokens de autenticación válidos para cientos de servicios en línea que los clientes pueden integrar con SalesLoft, incluidos Slack, Google Workspace, Amazon S3, Microsoft Azure y OpenAi. Salesloft dice que sus productos son confiables por más de 5,000 clientes. Algunos de los nombres más grandes son visibles en la página de inicio de la compañía. Salesloft reveló el 20 de agosto que, «Hoy, detectamos un problema de seguridad en la aplicación de deriva», refiriéndose a la tecnología que alimenta un chatbot de IA utilizada por tantos sitios web corporativos. La alerta instó a los clientes a volver a autenticar la conexión entre las aplicaciones de Drift y Salesforce para invalidar sus tokens de autenticación existentes, pero no dijo nada que indique que esos tokens ya habían sido robados. El 26 de agosto, el Google Threat Intelligence Group (GTIG) advirtió que los piratas informáticos no identificados rastrearon como UNC6395 utilizaron los tokens de acceso robados de SalesLoft para desviar grandes cantidades de datos de numerosas instancias de la fuerza de ventas corporativas. Google dijo que el robo de datos comenzó tan pronto como el 8 de agosto de 2025 y duró al menos hasta el 18 de agosto de 2025, y que el incidente no implicó ninguna vulnerabilidad en la plataforma Salesforce. Google dijo que los atacantes han estado examinando el recorrido de datos masivos para materiales de credenciales como las claves de AWS, las credenciales de VPN y las credenciales al copo de nieve del proveedor de almacenamiento en la nube. «Si tiene éxito, las credenciales correctas podrían permitirles comprometer aún más los entornos de víctimas y clientes, así como un pivote para los clientes o entornos de socios de la víctima», declaró el informe GTIG. El GTIG actualizó su asesoramiento el 28 de agosto para reconocer que los atacantes utilizaron los tokens robados para acceder al correo electrónico de «un número muy pequeño de cuentas del espacio de trabajo de Google» que estaban especialmente configurados para integrarse con SalesLoft. Más importante aún, advirtió a las organizaciones que invaliden inmediatamente a todos los tokens almacenados o conectados a sus integraciones SalesLoft, independientemente del servicio de terceros en cuestión. «Dadas las observaciones de GTIG de la exfiltración de datos asociada con la campaña, las organizaciones que usan SalesLoft Drift para integrarse con plataformas de terceros (incluidas, entre otras, Salesforce) deben considerar sus datos comprometidos y se les insta a tomar pasos de remediación inmediatos», aconsejó Google. El 28 de agosto, Salesforce bloqueó la deriva de la integración con su plataforma y con sus plataformas de productividad Slack y Pardot. El incidente de Salesloft se lleva inmediatamente a una amplia campaña de ingeniería social que utilizó el phishing de voz para engañar a los objetivos para conectar una aplicación maliciosa con el portal de Salesforce de su organización. Esa campaña condujo a infracciones de datos y ataques de extorsión que afectan a varias compañías, incluidas Adidas, Allianz Life y Qantas. El 5 de agosto, Google reveló que una de sus instancias de la fuerza de ventas corporativas estaba comprometida por los atacantes, que el GTIG ha denominado UNC6040 («UNC» significa «Grupo de amenazas no categorizado»). Google dijo que los extorsionistas afirmaron constantemente ser el grupo de amenazas Shinyhunters, y que el grupo parecía estar preparándose para aumentar sus ataques de extorsión mediante el lanzamiento de un sitio de fuga de datos. Shinyhunters es un grupo de amenazas amorfas conocido por utilizar la ingeniería social para entrar en plataformas en la nube y proveedores de TI de terceros, y por publicar docenas de bases de datos robadas a comunidades de delitos cibernéticos como los incumplimientos ahora desaparecidos. La marca Shinyhunters se remonta a 2020, y el grupo ha sido acreditado o asumido por docenas de fugas de datos que expusieron cientos de millones de registros violados. Se cree que la lista de miembros del grupo es algo fluido, que se basa principalmente en habitantes activos del COM, una comunidad de delitos cibernéticos en su mayoría inglés disperso en un océano de servidores de telegrama y discordia. Alan Liska registró a Bleeping Computer de Future que la superposición en las «herramientas, técnicas y procedimientos» utilizados por Shinyhunters y el grupo de extorsión de araña disperso probablemente indican algún cruce entre los dos grupos. Para enturbiar aún más las aguas, el 28 de agosto, un canal de telegrama que ahora tiene casi 40,000 suscriptores se lanzó bajo el banner intencionalmente confuso «Lapsus $ cazadores 4.0», en el que los participantes han reclamado repetidamente la responsabilidad del hack de Salesfroft sin compartir ningún detalle para probar sus reclamos. El grupo Telegram ha estado tratando de atraer la atención de los medios amenazando a los investigadores de seguridad en Google y otras empresas. También está utilizando la repentina popularidad del canal para promover un nuevo foro de delitos cibernéticos llamado «Breachstars», que según ellos pronto albergarán datos robados de compañías víctimas que se niegan a negociar un pago de rescate. El canal «Lapsus $ Hunters 4.0» disperso en Telegram ahora tiene aproximadamente 40,000 suscriptores. Pero Austin Larsen, analista de amenazas principales del grupo de inteligencia de amenazas de Google, dijo que no hay evidencia convincente para atribuir la actividad de SalesLoft a los brillos o otros grupos conocidos en este momento. «Su comprensión del incidente parece provenir solo de informes públicos», dijo Larsen a Krebsonsecurity, refiriéndose a los participantes más activos en el canal de telegrama de Lapsus $ cazadores de Lapsus 4.0. A Joshua Wright, un director técnico senior de Counter Hack, se le atribuye la accesión del término «expansión de autorización» para describir una razón clave por la que la ingeniería social ataca a grupos como la araña dispersa y los Shinyhunters tan a menudo tienen éxito: abusan de las tokens de acceso de usuarios legítimos para moverse sin problemas entre los sistemas de nubes y nubes. Wright dijo que este tipo de cadena de ataque a menudo no se detecta porque el atacante se adhiere a los recursos y el acceso ya asignado al usuario. «En lugar de la cadena convencional de acceso inicial, escalada de privilegios y bypass de punto final, estos actores de amenaza están utilizando plataformas de identidad centralizadas que ofrecen inicio de sesión único (SSO) y esquemas integrados de autenticación y autorización», escribió Wright en una columna de junio de 2025. «En lugar de crear malware personalizado, los atacantes usan los recursos ya disponibles para ellos como usuarios autorizados». No está claro exactamente cómo los atacantes obtuvieron acceso a todos los tokens de autenticación de deriva de SalesLoft. Salesloft anunció el 27 de agosto que contrató a Mandiant, la división de respuesta a incidentes de Google Cloud, para investigar las causas raíz. «Estamos trabajando con SalesLoft Drift para investigar la causa raíz de lo que ocurrió y luego dependerá de ellos publicar eso», dijo el CTO de consultoría de Mandiant Charles Carmakal a CybersCoop. «Habrá mucho más mañana y al día siguiente y al día siguiente».