Los cazadores de amenazas y un grupo de víctimas no confirmadas están respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor reveló en un aviso de seguridad Sábado.

«Salesforce está monitoreando activamente la actividad de amenazas dirigida a sitios públicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas», dijo la compañía en la alerta.

La campaña marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses.

El número de víctimas atrapadas por los últimos ataques no está verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas.

Los investigadores dijeron a CyberScoop que confían en que el grupo de amenazas detrás de la campaña está asociado con ShinyHunters, un equipo que anteriormente robó datos de instancias de Salesforce para intentos de extorsión.

Salesforce no atribuyó los ataques, pero culpó a un «grupo conocido de actores de amenazas», y agregó que el problema es no debido a una vulnerabilidad en la plataforma de la empresa.

La compañía dijo que la actividad de amenazas refleja una tendencia más amplia de ataques basados ​​en identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso público a posibles ataques.

«Somos conscientes de un actor de amenazas que intenta identificar configuraciones erróneas dentro de las instancias de Salesforce Experience Cloud», dijo en un comunicado Charles Carmakal, director de tecnología de Mandiant Consulting. «Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detección y telemetría necesarias para mitigar el riesgo potencial».

Salesforce dijo que el actor de amenazas está utilizando una versión modificada de la herramienta de código abierto desarrollada por Mandiant. AuraInspector para buscar sitios públicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado.

Esta configuración está diseñada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo público. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesión, explicó la compañía.

Salesforce no dijo cuándo ni cómo se enteró de la última campaña dirigida a sus clientes, ni cuántas empresas ya se han visto afectadas. «No tenemos nada más que agregar en este momento», dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce.

La empresa recomendó a los clientes que se aseguren de que las configuraciones de los usuarios invitados estén restringidas adecuadamente.

«Cualquier sistema expuesto a Internet debe configurarse con la expectativa de que será escaneado continuamente», dijo en un correo electrónico Shane Barney, director de seguridad de la información de Keeper Security.

“En esencia, se trata de una cuestión de gobernanza del acceso”, añadió. «Las cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios mínimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales».

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el año pasado. Google Threat Intelligence Group dijo en ese momento que tenía conocimiento de más de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.

Una ola de ataques posteriores más extensa descubierta en agosto afectó a más de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsión también participaron en ambas campañas.

Salesforce ha advertido sobre un aumento en la actividad de los actores de amenazas que tiene como objetivo explotar configuraciones erróneas en sitios de Experience Cloud de acceso público mediante el uso de una versión personalizada de una herramienta de código abierto llamada AuraInspector.

La actividad, según la empresa, implica la explotación de los derechos de los clientes. Configuraciones de usuarios invitados de Experience Cloud demasiado permisivas para obtener acceso a datos sensibles.

«La evidencia indica que el actor de la amenaza está aprovechando una versión modificada de la herramienta de código abierto AuraInspector. […] para realizar escaneos masivos de sitios públicos de Experience Cloud», Salesforce dicho.

«Si bien el AuraInspector original se limita a identificar objetos vulnerables al sondear los puntos finales API que estos sitios exponen (específicamente el punto final /s/sfsites/aura), el actor ha desarrollado una versión personalizada de la herramienta capaz de ir más allá de la identificación para extraer datos, explotando configuraciones de usuario invitado demasiado permisivas».

AuraInspector se refiere a una herramienta de código abierto diseñada para ayudar a los equipos de seguridad a identificar y auditar configuraciones incorrectas del control de acceso dentro del marco de Salesforce Aura. Fue lanzado por Mandiant, propiedad de Google, en enero de 2026.

Los sitios de Salesforce de acceso público utilizan un perfil de usuario invitado dedicado que permite a un usuario no autenticado acceder a páginas de destino, preguntas frecuentes y artículos de conocimiento. Sin embargo, si este perfil está mal configurado con permisos excesivos, potencialmente puede otorgar a usuarios no autenticados acceso a más datos de los previstos.

Como resultado, un atacante podría aprovechar esta debilidad de seguridad para consultar directamente objetos de Salesforce CRM sin iniciar sesión. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones: están utilizando el perfil de usuario invitado y no han cumplido con la guía de configuración recomendada de Salesforce.

«En este momento, no hemos identificado ninguna vulnerabilidad inherente a la plataforma Salesforce asociada con esta actividad», Salesforce dicho. «Estos intentos se centran en las configuraciones del cliente que, si no se protegen adecuadamente, pueden aumentar la exposición».

La compañía atribuyó la campaña a un conocido grupo de actores de amenazas sin mencionar su nombre, lo que plantea la posibilidad de que pueda ser obra de ShinyHunters (también conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a través de aplicaciones de terceros de Salesloft y Gainsight.

Salesforce recomienda a los clientes revisar la configuración de sus usuarios invitados de Experience Cloud, asegurarse de que el acceso externo predeterminado para todos los objetos esté configurado en Privado, deshabilitar el acceso de los usuarios invitados a las API públicas, restringir la configuración de visibilidad para evitar que los usuarios invitados enumeren a los miembros internos de la organización, deshabilitar el registro automático si no es necesario y monitorear los registros para consultas inusuales.

«Esta actividad de los actores de amenazas refleja una tendencia más amplia de ‘basado en la identidad‘ segmentación», añadió. «Los datos recopilados en estos escaneos, como nombres y números de teléfono, a menudo se utilizan para crear campañas de seguimiento de ingeniería social dirigidas y ‘vishing’ (phishing de voz)».