{"id":219,"date":"2026-03-11T14:17:54","date_gmt":"2026-03-11T14:17:54","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/salesforce-emite-una-nueva-alerta-de-seguridad-relacionada-con-el-tercer-ataque-a-clientes-en-seis-meses\/"},"modified":"2026-03-11T14:17:54","modified_gmt":"2026-03-11T14:17:54","slug":"salesforce-emite-una-nueva-alerta-de-seguridad-relacionada-con-el-tercer-ataque-a-clientes-en-seis-meses","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/11\/salesforce-emite-una-nueva-alerta-de-seguridad-relacionada-con-el-tercer-ataque-a-clientes-en-seis-meses\/","title":{"rendered":"Salesforce emite una nueva alerta de seguridad relacionada con el tercer ataque a clientes en seis meses"},"content":{"rendered":"
\n

Los cazadores de amenazas y un grupo de v\u00edctimas no confirmadas est\u00e1n respondiendo a una serie de ataques dirigidos a clientes de Salesforce, que el proveedor revel\u00f3 en un aviso de seguridad<\/a> S\u00e1bado. <\/p>\n

\u00abSalesforce est\u00e1 monitoreando activamente la actividad de amenazas dirigida a sitios p\u00fablicos de Experience Cloud, incluidos los intentos de aprovechar configuraciones de usuarios invitados demasiado permisivas\u00bb, dijo la compa\u00f1\u00eda en la alerta.<\/p>\n

La campa\u00f1a marca el tercer ataque generalizado dirigido a clientes de Salesforce en aproximadamente seis meses. <\/p>\n

El n\u00famero de v\u00edctimas atrapadas por los \u00faltimos ataques no est\u00e1 verificado, pero ShinyHunters, el grupo de amenazas que se atribuye la responsabilidad de los ataques, afirma que unas 100 empresas ya se han visto afectadas. <\/p>\n

Los investigadores dijeron a CyberScoop que conf\u00edan en que el grupo de amenazas detr\u00e1s de la campa\u00f1a est\u00e1 asociado con ShinyHunters, un equipo que anteriormente rob\u00f3 datos de instancias de Salesforce para intentos de extorsi\u00f3n.<\/p>\n

Salesforce no atribuy\u00f3 los ataques, pero culp\u00f3 a un \u00abgrupo conocido de actores de amenazas\u00bb, y agreg\u00f3 que el problema es no debido a una vulnerabilidad<\/a> en la plataforma de la empresa.<\/p>\n

La compa\u00f1\u00eda dijo que la actividad de amenazas refleja una tendencia m\u00e1s amplia de ataques basados \u200b\u200ben identidad, en este caso configuraciones de usuario invitado configuradas por el cliente que exponen los sitios de Experience Cloud de acceso p\u00fablico a posibles ataques.<\/p>\n

\u00abSomos conscientes de un actor de amenazas que intenta identificar configuraciones err\u00f3neas dentro de las instancias de Salesforce Experience Cloud\u00bb, dijo en un comunicado Charles Carmakal, director de tecnolog\u00eda de Mandiant Consulting. \u00abEstamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar las reglas de detecci\u00f3n y telemetr\u00eda necesarias para mitigar el riesgo potencial\u00bb.<\/p>\n

Salesforce dijo que el actor de amenazas est\u00e1 utilizando una versi\u00f3n modificada de la herramienta de c\u00f3digo abierto desarrollada por Mandiant. AuraInspector<\/a> para buscar sitios p\u00fablicos de Experience Cloud y robar datos de instancias con un perfil de usuario invitado. <\/p>\n

Esta configuraci\u00f3n est\u00e1 dise\u00f1ada para proporcionar a los usuarios no autenticados acceso a datos destinados al consumo p\u00fablico. Sin embargo, los perfiles de invitados con permisos excesivos permiten a los atacantes ver datos adicionales consultando directamente los objetos de Salesforce CRM sin iniciar sesi\u00f3n, explic\u00f3 la compa\u00f1\u00eda.<\/p>\n

Salesforce no dijo cu\u00e1ndo ni c\u00f3mo se enter\u00f3 de la \u00faltima campa\u00f1a dirigida a sus clientes, ni cu\u00e1ntas empresas ya se han visto afectadas. \u00abNo tenemos nada m\u00e1s que agregar en este momento\u00bb, dijo Nicole Aranda, gerente senior de comunicaciones corporativas de Salesforce. <\/p>\n

La empresa recomend\u00f3 a los clientes que se aseguren de que las configuraciones de los usuarios invitados est\u00e9n restringidas adecuadamente.<\/p>\n

\u00abCualquier sistema expuesto a Internet debe configurarse con la expectativa de que ser\u00e1 escaneado continuamente\u00bb, dijo en un correo electr\u00f3nico Shane Barney, director de seguridad de la informaci\u00f3n de Keeper Security. <\/p>\n

\u201cEn esencia, se trata de una cuesti\u00f3n de gobernanza del acceso\u201d, a\u00f1adi\u00f3. \u00abLas cuentas de invitado, las cuentas de servicio y las integraciones de API deben tratarse con la misma disciplina que los usuarios privilegiados. Aplicar privilegios m\u00ednimos, restringir el acceso a la API y auditar continuamente los permisos son controles de seguridad fundamentales\u00bb.<\/p>\n

Los clientes de Salesforce se enfrentaron a un par de ataques que involucraron a proveedores externos el a\u00f1o pasado. Google Threat Intelligence Group dijo en ese momento que ten\u00eda conocimiento de m\u00e1s de 200 instancias de Salesforce potencialmente afectadas vinculadas a actividad maliciosa en aplicaciones Gainsight conectadas a entornos de clientes de Salesforce en noviembre.<\/p>\n

Una ola de ataques posteriores m\u00e1s extensa descubierta en agosto afect\u00f3 a m\u00e1s de 700 empresas que integraron el agente de chat de IA Salesloft Drift en sus entornos de Salesforce. ShinyHunters o grupos de amenazas afiliados al grupo de extorsi\u00f3n tambi\u00e9n participaron en ambas campa\u00f1as.<\/p>\n