Salesforce ha advertido sobre un aumento en la actividad de los actores de amenazas que tiene como objetivo explotar configuraciones erróneas en sitios de Experience Cloud de acceso público mediante el uso de una versión personalizada de una herramienta de código abierto llamada AuraInspector.

La actividad, según la empresa, implica la explotación de los derechos de los clientes. Configuraciones de usuarios invitados de Experience Cloud demasiado permisivas para obtener acceso a datos sensibles.

«La evidencia indica que el actor de la amenaza está aprovechando una versión modificada de la herramienta de código abierto AuraInspector. […] para realizar escaneos masivos de sitios públicos de Experience Cloud», Salesforce dicho.

«Si bien el AuraInspector original se limita a identificar objetos vulnerables al sondear los puntos finales API que estos sitios exponen (específicamente el punto final /s/sfsites/aura), el actor ha desarrollado una versión personalizada de la herramienta capaz de ir más allá de la identificación para extraer datos, explotando configuraciones de usuario invitado demasiado permisivas».

AuraInspector se refiere a una herramienta de código abierto diseñada para ayudar a los equipos de seguridad a identificar y auditar configuraciones incorrectas del control de acceso dentro del marco de Salesforce Aura. Fue lanzado por Mandiant, propiedad de Google, en enero de 2026.

Los sitios de Salesforce de acceso público utilizan un perfil de usuario invitado dedicado que permite a un usuario no autenticado acceder a páginas de destino, preguntas frecuentes y artículos de conocimiento. Sin embargo, si este perfil está mal configurado con permisos excesivos, potencialmente puede otorgar a usuarios no autenticados acceso a más datos de los previstos.

Como resultado, un atacante podría aprovechar esta debilidad de seguridad para consultar directamente objetos de Salesforce CRM sin iniciar sesión. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones: están utilizando el perfil de usuario invitado y no han cumplido con la guía de configuración recomendada de Salesforce.

«En este momento, no hemos identificado ninguna vulnerabilidad inherente a la plataforma Salesforce asociada con esta actividad», Salesforce dicho. «Estos intentos se centran en las configuraciones del cliente que, si no se protegen adecuadamente, pueden aumentar la exposición».

La compañía atribuyó la campaña a un conocido grupo de actores de amenazas sin mencionar su nombre, lo que plantea la posibilidad de que pueda ser obra de ShinyHunters (también conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a través de aplicaciones de terceros de Salesloft y Gainsight.

Salesforce recomienda a los clientes revisar la configuración de sus usuarios invitados de Experience Cloud, asegurarse de que el acceso externo predeterminado para todos los objetos esté configurado en Privado, deshabilitar el acceso de los usuarios invitados a las API públicas, restringir la configuración de visibilidad para evitar que los usuarios invitados enumeren a los miembros internos de la organización, deshabilitar el registro automático si no es necesario y monitorear los registros para consultas inusuales.

«Esta actividad de los actores de amenazas refleja una tendencia más amplia de ‘basado en la identidad‘ segmentación», añadió. «Los datos recopilados en estos escaneos, como nombres y números de teléfono, a menudo se utilizan para crear campañas de seguimiento de ingeniería social dirigidas y ‘vishing’ (phishing de voz)».

Según un reciente informeel Departamento de Estado envió un cable instando a los diplomáticos estadounidenses a oponerse a las regulaciones internacionales de soberanía de datos como GDPR, caracterizando estas barreras como “innecesariamente gravosas”.

En el cable, el Departamento de Estado afirma que las regulaciones de soberanía de datos “perturban los flujos globales de datos, aumentan los costos y los riesgos de ciberseguridad, limitan la Inteligencia Artificial (IA) y los servicios en la nube, y amplían el control gubernamental de maneras que pueden socavar las libertades civiles y permitir la censura”.

Este argumento se sustenta tanto en una preocupación legítima como en un error crítico.

La verdad es que la soberanía de los datos real es técnica, no territorial.

La localización de datos es un instrumento contundente que intenta resolver un problema sofisticado. Exigir que los datos permanezcan dentro de límites geográficos en realidad no garantiza que los propietarios de los datos conserven el control sobre cómo se accede, se utiliza o se comparte su información. La gente se mueve; los puntos finales se mueven; los datos deben moverse.

Los reguladores europeos han ya definido lo que realmente requiere la soberanía digital. Específicamente, después de Schrems II, la Junta Europea de Protección de Datos dejó en claro que la soberanía se preserva cuando los datos están fuertemente cifrados y las claves de cifrado permanecen únicamente bajo el control del propietario de los datos en Europa. Esa claridad a menudo se pierde en debates geopolíticos más amplios.

La verdadera soberanía de los datos requiere que los gobiernos, las empresas y los ciudadanos conserven la autoridad criptográfica sobre quién puede acceder a su información, independientemente de dónde se procese. Obligar a que los datos se mantengan dentro de las fronteras nacionales sirve de poco si los proveedores extranjeros todavía tienen las llaves. La soberanía es fundamentalmente un desafío técnico: depende de controlar el acceso mediante cifrado y autenticación, no simplemente controlar la ubicación física.

Existe una creencia generalizada de que la soberanía de los datos es perjudicial para la innovación, el comercio y la seguridad nacional. Esta es una idea errónea.

El memorando presenta una opción falsa: que debemos aceptar flujos de datos transfronterizos sin restricciones con protecciones mínimas para el propietario de los datos, o implementar requisitos de localización onerosos que sofocan la innovación y la colaboración.

Esto simplemente no es cierto, y el auge de la seguridad centrada en datos lo demuestra: desde Estados Unidos hasta las naciones de los Cinco Ojos y el Indo-Pacífico, los líderes de seguridad están adoptando este modelo. En lugar de centrar los esfuerzos únicamente en construir un límite perimetral sólido, los controles y las políticas deben seguir los datos mismos, dondequiera que se muevan, proporcionando una seguridad más resiliente y contextual para los datos mismos. Este es el pilar central de la La propia estrategia Zero Trust del DoWy el modelo para agencias de todo el gobierno federal de EE. UU. y más allá.

Incluso el propio Departamento de Estado ITAR (el Reglamento de Tráfico Internacional de Armas de EE. UU.) tratar los datos confidenciales sobre municiones con requisitos específicos de la ubicación. Hay buenas razones para proteger algunos tipos de información sensible de los ojos externos.

El contexto importa. No deberíamos desmantelar estándares de soberanía de datos bien establecidos sin contar con alternativas técnicas claras. En cambio, debemos evaluar cómo proteger y gobernar de manera más efectiva los datos confidenciales, sin impedir el libre flujo de información.

La seguridad centrada en los datos fortalece la soberanía de los datos y libera flujos de datos seguros.

Al cambiar el enfoque de los muros (protecciones, localización y perímetros específicos de fronteras) a los datos en sí, se pueden transformar fundamentalmente los flujos de datos globales. Cuando los datos realmente se controlan, etiquetan y comprenden, pueden moverse de forma segura, a través de canales confiables, para lograr el éxito de la misión.

En un entorno de seguridad centrado en datos, una agencia gubernamental puede aprovechar los servicios en la nube de cualquier proveedor y, al mismo tiempo, mantener el control soberano sobre la información confidencial mediante la administración y el alojamiento de sus propias claves de cifrado, además de brindar resiliencia frente a infracciones de terceros con proveedores de servicios en la nube u otros socios.

Esto no es teórico. Actualmente se están produciendo arquitecturas de seguridad modernas centradas en datos, con estándares abiertos como el Formato de datos confiable permitiendo el intercambio de datos global e independiente de la plataforma entre socios. Es la antítesis de un silo de datos, que permite que los datos viajen en condiciones muy específicas y con una gobernanza adjunta a cada objeto de datos. el Reino Unido Operación Mástil Alto es un excelente ejemplo del éxito que se obtiene al compartir datos dinámicos e inteligentes entre socios confiables.

En una era definida por la aceleración de la IA y la competencia geopolítica, la soberanía y la interoperabilidad deben diseñarse para reforzarse mutuamente, no enmarcarse como compensaciones.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el lunes agregado tres fallas de seguridad en sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.

La lista de vulnerabilidades es la siguiente:

• CVE-2021-22054 (Puntuación CVSS: 7,5) – Una falsificación de solicitud del lado del servidor (SSRF) vulnerabilidad en Omnissa Workspace One UEM (anteriormente VMware Workspace One UEM) que podría permitir que un actor malicioso con acceso de red a UEM enviar solicitudes sin autenticación y obtener acceso a información sensible.
• CVE-2025-26399 (Puntuación CVSS: 9,8): una vulnerabilidad de deserialización de datos no confiables en el componente AjaxProxy de SolarWinds Web Help Desk que podría permitir a un atacante ejecutar comandos en la máquina host.
• CVE-2026-1603 (Puntuación CVSS: 8,6): una omisión de autenticación que utiliza una ruta alternativa o una vulnerabilidad de canal en Ivanti Endpoint Manager que podría permitir que un atacante remoto no autenticado filtre datos de credenciales almacenados específicos.

La adición de CVE-2025-26399 se produce a raíz de informes de Microsoft y Huntress de que los actores de amenazas están explotando fallas de seguridad en SolarWinds Web Help Desk para obtener acceso inicial. Se cree que la actividad es obra del equipo de ransomware Warlock.

CVE-2021-22054, por otro lado, fue señalado por GreyNoise en marzo de 2025 como explotado junto con varias otras vulnerabilidades de la SSRF en otros productos como parte de una campaña coordinada.

Actualmente no hay detalles sobre cómo se está utilizando CVE-2026-1603 como arma en la naturaleza. Al momento de escribir este artículo, Ivanti boletín de seguridad no se ha actualizado para reflejar el estado de explotación.

Para contrarrestar el riesgo que representan las amenazas activas, se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen la solución para la mesa de ayuda web de SolarWinds antes del 12 de marzo de 2026 y las dos restantes antes del 23 de marzo de 2026.

«Este tipo de vulnerabilidades son vectores de ataque frecuentes para actores cibernéticos maliciosos y plantean riesgos significativos para la empresa federal», dijo CISA.