El impacto de la filtración de Salesloft Drift en Cloudflare y nuestros clientes

La semana pasada, Cloudflare fue notificado de que nosotros (y nuestros clientes) estamos afectados por la brecha de seguridad de Salesloft Drift. Debido a esta vulnerabilidad, alguien ajeno a Cloudflare obtuvo acceso a nuestra instancia de Salesforce, que utilizamos para la atención al cliente y la gestión de casos de clientes internos, y algunos de los datos que contiene. La mayor parte de esta información es información de contacto del cliente y datos básicos del caso de soporte, pero algunas interacciones de soporte al cliente pueden revelar información sobre la configuración del cliente y podrían contener información sensible como tokens de acceso. Dado que los datos de casos de soporte de Salesforce contienen la información de los tickets de soporte con Cloudflare, cualquier información que un cliente haya compartido con Cloudflare en nuestro sistema de soporte —incluidos registros, tokens o contraseñas— debe considerarse comprometida, y le recomendamos encarecidamente que rote cualquier credencial que haya compartido con nosotros a través de este canal.

Como parte de nuestra respuesta a este incidente, realizamos nuestra propia búsqueda en los datos comprometidos para encontrar tokens o contraseñas y hallamos 104 tokens de API de Cloudflare. No hemos identificado ninguna actividad sospechosa asociada con esos tokens, pero todos ellos se han rotado por precaución extrema. Cloudflare ha informado de manera directa a todos los clientes cuyos datos fueron comprometidos en este ataque.

Ningún servicio ni infraestructura de Cloudflare se vio comprometida como resultado de esta violación.

Somos responsables de la elección de las herramientas que utilizamos como soporte de nuestro negocio. Esta violación ha decepcionado a nuestros clientes. Por eso, pedimos sinceras disculpas. El resto de este blog proporciona una cronología detallada e información exhaustiva sobre cómo investigamos este incidente.

La semana pasada, Cloudflare detectó actividad sospechosa en nuestro entorno de Salesforce y descubrió que nosotros, junto con cientos de otras empresas, nos habíamos convertido en el objetivo de un atacante que logró exfiltrar con éxito los campos de texto de los casos de soporte de la instancia de Salesforce. Nuestro equipo de seguridad comenzó una investigación de forma inmediata, cortó el acceso del atacante y tomó una serie de medidas, que se detallan a continuación, para asegurar nuestro entorno. Estamos escribiendo este blog para brindar detalles de lo que sucedió, cómo respondimos y cómo protegerse de este incidente para ayudar a nuestros clientes y a otros a comprender este incidente.

Cloudflare utiliza Salesforce para llevar un registro de quiénes son nuestros clientes y cómo utilizan nuestros servicios, y lo empleamos como herramienta de soporte para interactuar con ellos. Un detalle importante que se debe entender como parte de este incidente es que el atacante solo accedió a los datos en los “casos” de Salesforce, que pueden crearse cuando los miembros de los equipos de ventas y soporte de Cloudflare necesitan comentar entre sí de forma interna para brindar soporte a nuestros clientes; también se crean cuando los clientes interactúan con el soporte de Cloudflare. Salesforce tenía una integración con el bot de chat Salesloft Drift, que Cloudflare utilizó para brindar a cualquier persona que visitara nuestro sitio web una forma de contactarnos.

Como anunció Salesloft, un ciberdelincuente ha vulnerado sus sistemas. Como parte de la violación, el atacante pudo obtener credenciales OAuth asociadas con la integración de Salesforce del agente de chat de Salesloft Drift para exfiltrar datos de las instancias de Salesforce de los clientes de Salesloft. Nuestra investigación reveló que esto era parte de un sofisticado ataque a la cadena de suministro dirigido a integraciones de terceros entre empresas, y afectó a cientos de organizaciones a nivel mundial que eran clientes de Salesloft. Cloudforce One—el equipo de inteligencia e investigación de amenazas de Cloudflare— ha clasificado al ciberdelincuente de amenazas avanzadas como GRUB1. Divulgaciones adicionales del grupo de información sobre amenazas de Google alineadas con la actividad que observamos en nuestro entorno.

Nuestra investigación mostró que el atacante comprometió y exfiltró datos de nuestro usuario de Salesforce entre el 12 y el 17 de agosto de 2025, tras el reconocimiento inicial observado el 9 de agosto de 2025. Un análisis detallado confirmó que la exposición se limitó a los objetos de caso de Salesforce, que consisten principalmente en tickets de soporte al cliente y sus datos asociados dentro de nuestro entorno de Salesforce. Estos objetos de caso contienen información de contacto del cliente relacionada con el caso de soporte, el asunto del caso y el cuerpo de la correspondencia del caso, pero no archivos adjuntos a los casos. Cloudflare no solicita ni requiere a los clientes que compartan datos confidenciales, credenciales o claves API en casos de soporte. Sin embargo, en algunos escenarios de resolución de problemas, los clientes pueden pegar claves, registros u otra información sensible en los campos de texto del caso. Toda la información que se compartió a través de este canal ahora debe considerarse comprometida.

Creemos que este incidente no fue un hecho aislado, sino que el atacante pretendía recolectar credenciales e información de clientes para futuros ataques. Dado que cientos de organizaciones se vieron afectadas por este compromiso de Drift, sospechamos que el atacante utilizará esta información para lanzar ataques dirigidos contra clientes de las organizaciones afectadas. 

Esta publicación proporciona una cronología del ataque, detalla nuestra respuesta y ofrece recomendaciones de seguridad para ayudar a otras organizaciones a mitigar amenazas similares.

A lo largo de esta publicación del blog, todas las fechas y horas están en UTC.

Cuando Salesforce y Salesloft nos notificaron el 23 de agosto de 2025 que la integración de Drift en varias organizaciones había sido atacada, incluida Cloudflare, iniciamos de inmediato una respuesta a incidentes de seguridad en toda la empresa. Activamos equipos interdisciplinarios, reunimos a expertos de Seguridad, TI, Producto, Legal, Comunicaciones y liderazgo empresarial bajo una única estructura de comando de incidentes unificada.

Establecimos cuatro flujos de trabajo prioritarios claros con el objetivo de proteger a nuestros clientes y a Cloudflare:

1. Contención inmediata de amenazas: Cortamos el acceso de todos los atacantes al deshabilitar la integración comprometida de Drift, realizamos análisis forenses para comprender el alcance del compromiso y eliminamos la amenaza activa de nuestro entorno.

2. Asegurar nuestro ecosistema de terceros: Desconectamos de inmediato todas las integraciones de terceros de Salesforce. Emitimos nuevas claves secretas para todos los servicios e implementamos un nuevo proceso para rotarlas semanalmente.

3. Proteger la integridad de nuestros sistemas más amplios: ampliamos la rotación de credenciales a todos nuestros servicios de Internet y cuentas de terceros como medida de precaución para evitar que el atacante use datos comprometidos para acceder a otros sistemas de Cloudflare.

4. Análisis de impacto en el cliente: Analizamos los datos de nuestros objetos de casos de Salesforce para identificar si los clientes podrían estar comprometidos y para asegurarnos de que recibieran una comunicación oportuna y precisa sobre una posible exposición.

Nuestra investigación forense reconstruyó las actividades del atacante contra Cloudflare, que ocurrieron entre el 9 y el 17 de agosto de 2025. El siguiente es un resumen cronológico de las acciones del atacante, incluido el reconocimiento inicial antes del compromiso inicial.

A las 11:51, GRUB1 intentó validar un token de API emitido por Cloudflare para la API de Salesforce. El atacante utilizó Trufflehog (un popular escáner de datos confidenciales de código abierto) como su User-Agent y envió una solicitud de verificación a client/v4/user/tokens/verify. La solicitud falló con un 404 Not Found, lo que confirma que el token no es válido. El origen de este token de API no está claro; podría haberse obtenido de varias fuentes, incluidos otros clientes de Drift que GRUB1 pudo haber atacado antes de Cloudflare. 

A las 22:14, GRUB1 obtuvo acceso al tenant de Salesforce de Cloudflare utilizando una credencial robada empleada por la integración de Salesloft. Con esta credencial, GRUB1 inició sesión desde la dirección IP 44[.]215[.]108[.]109 e hizo una solicitud GET a /services/data/v58.0/sobjects/ Punto final de la API. Esta acción parecía enumerar todos los objetos en nuestro entorno de Salesforce, proporcionando al atacante una visión general de alto nivel de los datos almacenados allí.

Un día después de la brecha inicial, el atacante GRUB1 lanzó un ataque posterior desde la misma dirección IP, 44[.]215[.]108[.]109. A partir de las 19:33, el ciberdelincuente robó datos de clientes de los objetos de caso de Salesforce. Primero, volvieron a ejecutar una enumeración de objetos para confirmar la estructura de datos; luego, recuperaron inmediatamente el esquema de los objetos de caso utilizando el punto final /sobjects/Case/describe/. A esto le siguió una consulta amplia de Salesforce que enumeró campos del objeto de caso de Salesforce.

El atacante GRUB1 dedicó horas a realizar un reconocimiento exhaustivo del inquilino de Salesforce de Cloudflare desde la dirección IP 44[.]215[.]108[.]109. Parece que su objetivo era desarrollar una comprensión de nuestro entorno. Durante varias horas, ejecutaron una serie de consultas dirigidas:

• 00:17 - Midieron la extensión del usuario mediante el conteo de cuentas, contactos y usuarios; 

• 04:34 - Análisis de flujos de trabajo de casos consultando CaseTeamMemberHistory; y 

• 11:09 - Confirmaron que estaban en un entorno de producción al identificar el objeto de la Organización. 

El atacante completó su reconocimiento con consultas adicionales para entender cómo opera nuestro sistema de soporte al cliente, incluyendo cómo los miembros del equipo manejan diferentes tipos de casos, cómo se asignan y escalan los casos, y cómo funcionan nuestros procesos de soporte. Luego, consultaron el punto final /limits/ para conocer los umbrales operativos de la API. Las consultas ejecutadas por GRUB1 les proporcionaron información sobre su nivel de acceso, el tamaño de los objetos de caso y los límites precisos de la API que debían respetar para evitar Detecciones en nuestro entorno de Salesforce.

Tras el reconocimiento del 14 de agosto de 2025, no observamos tráfico ni inicios de sesión exitosos del atacante GRUB1 durante casi 48 horas.  

Regresaron el 16 de agosto de 2025. A las 19:26, GRUB1 volvió a iniciar sesión en el usuario de Salesforce de Cloudflare desde la dirección IP 44[.]215[.]108[.]109 y, a las 19:28, ejecutó una única consulta final: SELECT COUNT() FROM Case. Esta acción sirvió como un "ensayo general" final para verificar el tamaño exacto del conjunto de datos que estaban a punto de robar, marcando el final definitivo de la fase de reconocimiento y preparando el escenario para el ataque principal. 

GRUB1 inició la fase de exfiltración de datos al cambiar a una nueva infraestructura, iniciando sesión a las 11:11:23 desde la dirección IP 208[.]68[.]36[.]90. Después de realizar una última comprobación del tamaño del objeto de caso, lanzaron un trabajo de Salesforce Bulk API 2.0 a las 11:11:56. En poco más de tres minutos, exfiltraron con éxito un conjunto de datos que contenía el texto de los casos de soporte, pero no ningún archivo adjunto ni documento, en nuestra instancia de Salesforce. A las 11:15:42, GRUB1 intentó borrar el rastro eliminando el trabajo de la API. Aunque esta acción ocultó la evidencia principal, nuestro equipo logró reconstruir el ataque a partir de los registros residuales. 

No observamos más actividad de este atacante después del 17 de agosto de 2025.

Salesloft revocó las conexiones de Drift a Salesforce en toda su base de clientes y publicó un aviso en su sitio web. En ese momento, Cloudflare aún no había sido notificado y no teníamos indicios de que esta acción del proveedor pudiera estar relacionada con nuestro entorno.

Nuestra respuesta a este incidente comenzó cuando Salesforce y Salesloft nos notificaron sobre una actividad inusual relacionada con Drift.  Implementamos rápidamente los pasos de contención recomendados por los proveedores y los involucramos para recopilar información. 

Para el 25 de agosto, habíamos recibido información adicional sobre el incidente y habíamos escalado nuestra respuesta más allá de los pasos iniciales de contención recomendados por el proveedor. Iniciamos nuestra propia investigación exhaustiva y un esfuerzo de remediación.

Nuestra primera prioridad fue quitar el acceso de GRUB1 en la fuente. Deshabilitamos la cuenta de usuario de Drift, revocamos su ID de cliente y sus datos confidenciales, y eliminamos por completo todo el software de Salesloft y las extensiones de navegador de los sistemas de Cloudflare. Esta eliminación integral mitigó el riesgo de que el atacante reutilizara los tokens comprometidos, recuperara el acceso a través de sesiones obsoletas o aprovechara las extensiones de software para mantener la persistencia. Ademas, ampliamos nuestra revisión de seguridad para incluir todos los servicios de terceros conectados a nuestro entorno de Salesforce, rotando las credenciales como medida de precaución para prevenir cualquier posible movimiento lateral por parte del atacante. 

Dado que utilizamos Salesforce como nuestra herramienta principal para gestionar los datos de soporte al cliente, existía el riesgo de que los clientes hayan enviado las contraseñas u otros datos confidenciales en sus solicitudes de servicio al cliente. Necesitábamos comprender qué información sensible tenía ahora el atacante. 

Nos enfocamos de inmediato en saber si alguno de esos datos podría haberse utilizado para comprometer las cuentas, los sistemas o la infraestructura de nuestros clientes. Examinamos los datos obtenidos por el atacante para ver si contenían credenciales expuestas, ya que los casos incluyen campos de texto de formato libre donde los clientes pueden enviar tokens de la API de Cloudflare, claves o registros a nuestro equipo de soporte. Nuestros equipos desarrollaron herramientas de escaneo personalizadas utilizando técnicas de expresiones regulares, entropía y coincidencia de patrones para detectar posibles datos confidenciales de Cloudflare a escala. 

Nuestra investigación confirmó que la exposición se limitó estrictamente al texto de formato libre en los objetos de caso de Salesforce, no a los archivos adjuntos ni a otros archivos. Los equipos de ventas y soporte utilizan los casos para comunicarse internamente sobre problemas de atención al cliente y para comunicarse directamente con los clientes. Como resultado, estos objetos de caso contenían datos exclusivamente de texto que consistían en:

• El asunto del caso de Salesforce

• El cuerpo del caso (texto de formato libre que puede incluir cualquier correspondencia, incluidas claves, datos confidenciales, etc., si el cliente la proporciona a Cloudflare)

• La información de contacto del cliente (por ejemplo, nombre de la empresa, correo electrónico del solicitante, número de teléfono, nombre de dominio de la empresa y el país de la empresa)

Esta conclusión fue validada a través de revisiones exhaustivas de las integraciones, la actividad de autenticación, la telemetría de los puntos finales y los registros de red.

Aunque las credenciales principales de Salesforce y Salesloft ya se habían rotado, nuestro siguiente paso fue terminar y restablecer de manera segura nuestras integraciones de terceros. Comenzamos a reincorporar cuidadosamente los servicios finalizados, asegurándonos de que cada uno fuera provisto de nuevas claves y estuviera sujeto a controles de seguridad más estrictos.

Mientras tanto, nuestros equipos continuaron analizando los datos que fueron exfiltrados. Con base en el análisis, clasificamos y validamos las posibles exposiciones, y operamos bajo el principio de que se examinaba cualquier dato que pudiera haber sido expuesto. Esto nos permitió tomar medidas directas al rotar los tokens emitidos por la plataforma de Cloudflare inmediatamente luego de su identificación: en total, se rotaron 104 tokens. No se ha identificado actividad sospechosa alguna relacionada con esos tokens. 

Según el análisis detallado de Cloudflare, todos los clientes afectados fueron notificados formalmente por correo electrónico y mediante avisos en nuestro panel de control con información sobre el incidente y los pasos recomendados a seguir. 

Este incidente resalta la necesidad imperiosa de incrementar la vigilancia en la protección de aplicaciones SaaS y otras integraciones de terceros. Los datos comprometidos de cientos de empresas que fueron objetivo de este ataque podrían ser utilizados para lanzar ataques adicionales. Recomendamos encarecidamente a todas las organizaciones que adopten las siguientes medidas de seguridad:

• Desconectar Salesloft y sus aplicaciones: desconecta inmediatamente todas las conexiones de Salesloft de tu entorno de Salesforce y desinstala cualquier software relacionado o extensiones de navegador.

• Rotar credenciales: restablece las credenciales para todas las aplicaciones e integraciones de terceros conectadas a tu instancia de Salesforce. Rota cualquier credencial que se haya compartido previamente en un caso de soporte con Cloudflare. Basado en el alcance y la intención de este ataque, también recomendamos rotar todas las credenciales de terceros en su entorno, así como cualquier credencial que pueda haber sido incluida en un caso de soporte con cualquier otro proveedor. 

• Implementar la rotación frecuente de credenciales: establece un programa regular de rotación para todas las claves API y otros datos confidenciales utilizados en tus integraciones para reducir la ventana de exposición.

• Revisar los datos de los casos de soporte: revisa todos los datos de los casos de soporte al cliente con tus proveedores externos para identificar qué información confidencial puede haber estado expuesta. Busca casos que contengan credenciales, claves API, detalles de configuración u otros datos sensibles que los clientes puedan haber compartido. Para los clientes de Cloudflare específicamente: pueden acceder a su historial de casos de soporte a través del panel de Cloudflare en Soporte > Soporte técnico > Mis actividades, donde pueden filtrar los casos o utilizar la opción "Descargar casos" para realizar una revisión exhaustiva.

• Realizar un análisis forense:  revisa los registros de acceso y los permisos de todas las integraciones de terceros, analiza la información pública asociada con el incidente de Drift y realiza una revisión de seguridad de tu entorno según corresponda.

• Aplicar el principio de privilegio mínimo: audita todas las aplicaciones de terceros para asegurar que operen con el nivel mínimo de acceso necesario para su función y verifica que las cuentas de administrador no se utilicen para los proveedores. Además, aplica controles estrictos como restricciones de dirección IP y vinculación de sesión en todas las conexiones de terceros y B2B (empresa a empresa).

• Mejorar la supervisión y los controles: implementa una supervisión mejorada para detectar anomalías, como grandes exportaciones de datos o inicios de sesión desde ubicaciones desconocidas. Aunque capturar registros de terceros a terceros puede ser complicado, es crucial que estos registros sean parte de los equipos de operaciones de seguridad.

A continuación, se presentan los indicadores de compromiso (IOC) que observamos en GRUB1. Las estamos publicando para que otras organizaciones, y especialmente aquellas que puedan haber sido afectadas por la filtración de Salesloft, puedan buscar en sus registros para confirmar que el mismo atacante no accedió a sus sistemas o a los de terceros.

Somos responsables de las herramientas que seleccionamos y cuando esas herramientas son comprometidas por ciberdelincuentes sofisticados, asumimos las consecuencias. Nuestro equipo respondió al aviso, y nuestra investigación confirmó que el impacto se limitó estrictamente a los datos en los objetos de caso de Salesforce, sin comprometer otros sistemas o infraestructuras de Cloudflare.

Dicho esto, consideramos que el riesgo de cualquier dato es inaceptable. Nuestros clientes confían en Cloudflare para proteger sus datos, su infraestructura y su seguridad. A su vez, algunas veces depositamos nuestra confianza en herramientas de terceros que deben ser monitoreadas y cuidadosamente delimitadas en cuanto a lo que pueden acceder. Somos responsables de esto. Les fallamos a nuestros clientes. Por esto, pedimos sinceras disculpas.

A medida que las herramientas de terceros se integran cada vez más con los datos corporativos internos en toda la industria, debemos abordar cada nueva herramienta con un escrutinio minucioso. Este incidente afectó a cientos de organizaciones a través de un único punto de integración, y destacó los riesgos interconectados en el panorama tecnológico actual. Nos comprometemos a desarrollar nuevas capacidades que nos ayuden a nosotros y a nuestros clientes a defendernos de tales ataques en el futuro. Mantente atento/a a los anuncios durante la Semana aniversario de Cloudflare a finales de este mes.

También nos comprometemos a compartir información sobre amenazas e investigación con la comunidad de seguridad en general. En las próximas semanas, nuestro equipo de Cloudforce One publicará un blog detallado analizando las tácticas de GRUB1 para apoyar a la comunidad en general en la defensa contra campañas similares.

La siguiente tabla proporciona una vista detallada y cronológica de las acciones específicas de GRUB1 durante el incidente.