Cómo proteger tu empresa tras el ataque a Salesloft Drift

A finales de agosto, los hackers obtuvieron acceso al funcionamiento interno de una plataforma de chatbot de IA, y desde entonces han estado usando este acceso para entrar en otras aplicaciones, desde Salesforce hasta Google Workspace, que las empresas han integrado con el chatbot.

Drift, un agente de chatbot adquirido por Salesloft, es popular entre los equipos de ventas y marketing estadounidenses. Se integra con aplicaciones de terceras partes para convertir a los visitantes del sitio web en clientes potenciales. Si bien actualmente no está claro cómo los atacantes entraron en Salesloft Drift, una vez allí, robaron tokens de autenticación que les dieron acceso a Salesforce, Google Workspace, Slack, Amazon S3, Microsoft Azure, OpenAI y potencialmente cualquier otra plataforma que se integre con Salesloft.

Si tu empresa utiliza integraciones de Drift, Salesloft o Salesforce, podrías estar afectado por esta vulneración. Los investigadores de seguridad recomiendan que revoques todos los tokens OAuth inmediatamente y audites las aplicaciones conectadas. No esperes a la confirmación de que te han comprometido; asúmelo y actúa ahora.

Si no lo haces, los atacantes podrían usar estos tokens para acceder a tus entornos online.

Cronología del ataque a Salesloft Drift

Salesloft reveló por primera vez un problema de seguridad que afectaba a las integraciones de Drift(ventana nueva) el 20 de agosto.

El 26 de agosto, el Grupo de Inteligencia de Amenazas de Google publicó hallazgos(ventana nueva) confirmando que los atacantes habían explotado tokens OAuth robados de Salesloft para acceder a instancias de Salesforce y exfiltrar grandes cantidades de datos.

El 28 de agosto, Google añadió una actualización indicando que los atacantes habían usado estos tokens de acceso para acceder también a los correos electrónicos de “un número muy pequeño de cuentas de Google Workspace” que tenían integraciones de Drift y señaló que este hackeo afecta a casi todas las integraciones de Drift. Google afirma que también se robaron tokens de autenticación válidos para Slack, Amazon S3, Microsoft Azure y OpenAI.

Como resultado, Google y Salesforce han desactivado temporalmente sus integraciones de Drift.

El 1 de septiembre, Zscaler confirmó que había sido comprometido(ventana nueva) usando OAuth y tokens de actualización robados en el ataque de Drift. Los atacantes entraron en su instancia de Salesforce y robaron información confidencial del cliente, incluidos nombres, correos electrónicos, cargos, información de uso de productos Zscaler y más.

Esto sigue a otro ataque reciente a instancias de Salesforce que ha llevado a un aumento en los ataques de suplantación contra Gmail y usuarios de Google Workspace. Según Krebs Security(ventana nueva), hay desacuerdo sobre si los dos ataques están relacionados.

¿Qué es un ataque a la cadena de suministro?

Un ataque a la cadena de suministro es cuando los atacantes van tras un proveedor de terceras partes para entrar en el sistema de una organización. En este caso, los atacantes no vulneraron Gmail o Salesforce directamente; comprometieron tokens OAuth de integraciones de Drift para acceder a sistemas conectados.

Uno de los ejemplos recientes más infames de un ataque a la cadena de suministro es lo que sucedió con SolarWinds en 2020(ventana nueva). SolarWinds es un importante proveedor de software para la gestión de redes. Hackers sospechosos de tener respaldo ruso atacaron SolarWinds, implantando malware en su código, que luego se extendió a más de 30.000 organizaciones públicas y privadas durante una actualización estándar. Probablemente fue el mayor ataque a la cadena de suministro jamás realizado.

Por qué los chatbots de IA seguirán siendo objetivos

La prisa por integrar agentes de IA como Drift en innumerables flujos de trabajo en todo tipo de empresas ha dificultado que los equipos de ciberseguridad hagan su trabajo, y las empresas de IA hasta ahora han demostrado ser vulnerables a ataques a la cadena de suministro(ventana nueva). Dada la aceleración de la adopción de la IA, la novedad de la tecnología y el hecho de que todos están aprendiendo sobre la marcha(ventana nueva), estos ataques solo se volverán más comunes.

Hasta que el ecosistema de IA madure, el movimiento más seguro es minimizar el acceso, limitar las integraciones y usar plataformas que estén diseñadas para zero trust. Los hackers siempre buscarán apuntar a las debilidades percibidas en los perímetros de seguridad de una empresa. Las integraciones, las plataformas de terceras partes y los consultores externos a menudo se ven como objetivos atractivos. Más información sobre la prevención de vulneraciones de datos para empresas.