{"id":198,"date":"2026-03-10T10:43:06","date_gmt":"2026-03-10T10:43:06","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/los-actores-de-amenazas-escanean-masivamente-salesforce-experience-cloud-mediante-la-herramienta-aurainspector-modificada-cyberdefensa-mx\/"},"modified":"2026-03-10T10:43:06","modified_gmt":"2026-03-10T10:43:06","slug":"los-actores-de-amenazas-escanean-masivamente-salesforce-experience-cloud-mediante-la-herramienta-aurainspector-modificada-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/10\/los-actores-de-amenazas-escanean-masivamente-salesforce-experience-cloud-mediante-la-herramienta-aurainspector-modificada-cyberdefensa-mx\/","title":{"rendered":"Los actores de amenazas escanean masivamente Salesforce Experience Cloud mediante la herramienta AuraInspector modificada \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Salesforce ha advertido sobre un aumento en la actividad de los actores de amenazas que tiene como objetivo explotar configuraciones err\u00f3neas en sitios de Experience Cloud de acceso p\u00fablico mediante el uso de una versi\u00f3n personalizada de una herramienta de c\u00f3digo abierto llamada AuraInspector.<\/p>\n

La actividad, seg\u00fan la empresa, implica la explotaci\u00f3n de los derechos de los clientes. Configuraciones de usuarios invitados de Experience Cloud demasiado permisivas<\/a> para obtener acceso a datos sensibles.<\/p>\n

\u00abLa evidencia indica que el actor de la amenaza est\u00e1 aprovechando una versi\u00f3n modificada de la herramienta de c\u00f3digo abierto AuraInspector. [\u2026] para realizar escaneos masivos de sitios p\u00fablicos de Experience Cloud\u00bb, Salesforce dicho<\/a>.<\/p>\n

\u00abSi bien el AuraInspector original se limita a identificar objetos vulnerables al sondear los puntos finales API que estos sitios exponen (espec\u00edficamente el punto final \/s\/sfsites\/aura), el actor ha desarrollado una versi\u00f3n personalizada de la herramienta capaz de ir m\u00e1s all\u00e1 de la identificaci\u00f3n para extraer datos, explotando configuraciones de usuario invitado demasiado permisivas\u00bb.<\/p>\n

AuraInspector se refiere a una herramienta de c\u00f3digo abierto dise\u00f1ada para ayudar a los equipos de seguridad a identificar y auditar configuraciones incorrectas del control de acceso dentro del marco de Salesforce Aura. Fue lanzado por Mandiant, propiedad de Google, en enero de 2026.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

Los sitios de Salesforce de acceso p\u00fablico utilizan un perfil de usuario invitado dedicado que permite a un usuario no autenticado acceder a p\u00e1ginas de destino, preguntas frecuentes y art\u00edculos de conocimiento. Sin embargo, si este perfil est\u00e1 mal configurado con permisos excesivos, potencialmente puede otorgar a usuarios no autenticados acceso a m\u00e1s datos de los previstos.<\/p>\n

Como resultado, un atacante podr\u00eda aprovechar esta debilidad de seguridad para consultar directamente objetos de Salesforce CRM sin iniciar sesi\u00f3n. Para que este ataque funcione, los clientes de Experience Cloud deben cumplir dos condiciones: est\u00e1n utilizando el perfil de usuario invitado y no han cumplido con la gu\u00eda de configuraci\u00f3n recomendada de Salesforce.<\/p>\n

\u00abEn este momento, no hemos identificado ninguna vulnerabilidad inherente a la plataforma Salesforce asociada con esta actividad\u00bb, Salesforce dicho<\/a>. \u00abEstos intentos se centran en las configuraciones del cliente que, si no se protegen adecuadamente, pueden aumentar la exposici\u00f3n\u00bb.<\/p>\n

La compa\u00f1\u00eda atribuy\u00f3 la campa\u00f1a a un conocido grupo de actores de amenazas sin mencionar su nombre, lo que plantea la posibilidad de que pueda ser obra de ShinyHunters (tambi\u00e9n conocido como UNC6240), que tiene un historial de atacar entornos de Salesforce a trav\u00e9s de aplicaciones de terceros de Salesloft y Gainsight.<\/p>\n

Salesforce recomienda a los clientes revisar la configuraci\u00f3n de sus usuarios invitados de Experience Cloud, asegurarse de que el acceso externo predeterminado para todos los objetos est\u00e9 configurado en Privado, deshabilitar el acceso de los usuarios invitados a las API p\u00fablicas, restringir la configuraci\u00f3n de visibilidad para evitar que los usuarios invitados enumeren a los miembros internos de la organizaci\u00f3n, deshabilitar el registro autom\u00e1tico si no es necesario y monitorear los registros para consultas inusuales.<\/p>\n

\u00abEsta actividad de los actores de amenazas refleja una tendencia m\u00e1s amplia de ‘basado en la identidad<\/a>‘ segmentaci\u00f3n\u00bb, a\u00f1adi\u00f3. \u00abLos datos recopilados en estos escaneos, como nombres y n\u00fameros de tel\u00e9fono, a menudo se utilizan para crear campa\u00f1as de seguimiento de ingenier\u00eda social dirigidas y ‘vishing’ (phishing de voz)\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Salesforce ha advertido sobre un aumento en la actividad de los actores de amenazas que tiene como objetivo explotar configuraciones err\u00f3neas en sitios de Experience Cloud de acceso p\u00fablico mediante el uso de una versi\u00f3n personalizada de una herramienta de c\u00f3digo abierto llamada AuraInspector. La actividad, seg\u00fan la empresa, implica la explotaci\u00f3n de los derechos […]<\/p>\n","protected":false},"author":1,"featured_media":123,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[665,337,671,257,24,666,669,517,52,667,670,672,668],"class_list":["post-198","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-actores","tag-amenazas","tag-aurainspector","tag-cloud","tag-cyberdefensa-mx","tag-escanean","tag-experience","tag-herramienta","tag-los","tag-masivamente","tag-mediante","tag-modificada","tag-salesforce"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/198","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=198"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/198\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/123"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=198"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=198"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=198"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}