¿Qué debo hacer si soy cliente de Cloudflare tras el incidente de Salesloft Drift?

Los clientes deben acceder al portal de soporte de Cloudflare, revisar los datos compartidos en sus casos y rotar inmediatamente cualquier token, API key o credencial que se haya incluido en esos tickets. También se recomienda implementar una rotación periódica de credenciales críticas.

¿Qué tipo de información se filtró en el ataque?

El atacante accedió a objetos 'Case' de Salesforce, incluyendo nombre y contacto del cliente, líneas de asunto y cuerpo de los tickets de soporte, así como comunicaciones relacionadas con la incidencia. No se vieron afectados los archivos adjuntos ni la infraestructura de Cloudflare.

¿Se vieron comprometidos los servicios principales de Cloudflare?

No. Cloudflare confirmó que su infraestructura principal y servicios no fueron comprometidos. El ataque se limitó a los casos de soporte almacenados en Salesforce.

¿Qué medidas adoptó Cloudflare tras detectar el ataque?

Cloudflare desconectó las integraciones con Drift/Salesloft, revocó credenciales comprometidas, analizó logs forenses, rotó 104 tokens de API detectados en los datos exfiltrados y publicó indicadores de compromiso (IOCs) junto a recomendaciones de seguridad para sus clientes.

¿Qué medidas de seguridad deben implementar las empresas para prevenir incidentes similares?

Se recomienda auditar integraciones SaaS y aplicar el principio de menor privilegio, implementar rotación automática de credenciales, monitorizar descargas masivas de datos en plataformas críticas y prohibir incluir secretos o credenciales en tickets de soporte.

3 septiembre 2025
Empresas, Noticias, Seguridad
4 minutos de lectura

Cloudflare admite exposición de datos en Salesforce tras el ataque a Salesloft Drift: qué pasó y cómo responder

Nota de Prensa

El 2 de septiembre de 2025, Cloudflare confirmó que había sido víctima colateral de un sofisticado ataque contra Salesloft Drift, una plataforma de chat usada por decenas de grandes compañías y conectada directamente con Salesforce. La brecha permitió a un actor de amenazas, identificado como GRUB1, acceder a información sensible almacenada en los casos de soporte de clientes de Cloudflare entre el 12 y el 17 de agosto.

Aunque la compañía asegura que su infraestructura principal y sus servicios no fueron comprometidos, el incidente expuso datos incluidos en tickets de soporte: información de contacto, descripciones de problemas técnicos e incluso posibles tokens o credenciales compartidos por clientes.

Un ataque en cadena que afectó a cientos de empresas

El ataque no fue exclusivo contra Cloudflare. Según reconoció la propia Salesloft, el grupo atacante explotó credenciales OAuth del chatbot Drift para infiltrarse en múltiples instancias de Salesforce. Allí, realizaron un reconocimiento meticuloso de los objetos de datos y finalmente lanzaron una exfiltración masiva usando la Salesforce Bulk API 2.0.

El modus operandi recuerda a campañas recientes de ataques a la cadena de suministro SaaS, donde un único punto de integración sirve como trampolín para acceder a datos de decenas o cientos de organizaciones.

Qué datos fueron comprometidos

Cloudflare ha detallado que el atacante accedió únicamente a los objetos “Case” de Salesforce, lo que incluye:

Nombre y contacto del cliente que abrió el caso.
Línea de asunto y cuerpo del ticket (texto libre).
Comunicaciones internas y externas relacionadas con la incidencia.

No se vieron afectados:

Archivos adjuntos.
Infraestructura o servicios de Cloudflare.

Sin embargo, el riesgo radica en que clientes pudieron incluir en texto tokens, contraseñas o logs sensibles. De hecho, Cloudflare detectó y rotó proactivamente 104 tokens de API hallados en los datos exfiltrados.

El plan de respuesta de Cloudflare

La compañía reaccionó con un equipo de respuesta a incidentes transversal que incluyó seguridad, legal, producto y comunicación. Las medidas adoptadas fueron:

Contención inmediata
- Desconexión total de Drift/Salesloft.
- Revocación de credenciales comprometidas.
- Purga de integraciones sospechosas.
Investigación forense
- Análisis de logs de Salesforce.
- Reconstrucción de queries ejecutadas por GRUB1.
- Escaneo de casos en busca de secretos expuestos.
Medidas preventivas
- Rotación semanal de credenciales de terceros.
- Nuevos controles de seguridad en integraciones.
- Alertas por descargas masivas vía API.
Comunicación y transparencia
- Notificación a todos los clientes afectados.
- Recomendaciones claras de mitigación.
- Publicación de un blog técnico con los IOCs.

📌 Plan de respuesta ante el incidente Drift–Salesforce

Para organizaciones que usan Salesforce u otras plataformas SaaS, los expertos recomiendan un plan estructurado en fases:

⏱ 0–24 h: Contención inmediata

Desconectar integraciones afectadas (Salesloft/Drift).
Rotar credenciales críticas (tokens, API keys, OAuth).
Bloquear usuarios heredados asociados a integraciones.
Capturar logs de Salesforce (LoginHistory, API Usage).

⏱ 24–72 h: Investigación y mitigación

Revisar Bulk API Jobs ejecutados en las fechas comprometidas.
Escanear casos con regex para detectar posibles secretos expuestos.
Correlacionar accesos sospechosos en SIEM y WAF.
Clasificar exposición y priorizar rotación de credenciales sensibles.

⏱ 7 días: Fortalecimiento

Implementar rotación periódica de secretos.
Desplegar políticas de DLP en Salesforce para impedir compartir claves en texto.
Auditoría de apps OAuth con principio de menor privilegio.
Monitoreo continuo de anomalías (exportaciones masivas, logins inusuales).
Ejercicios de simulación de brechas SaaS.

Una lección sobre los riesgos del ecosistema SaaS

El incidente evidencia cómo las integraciones de terceros se han convertido en uno de los eslabones más débiles de la seguridad empresarial. Cada chatbot, plugin o extensión conectada a una plataforma crítica como Salesforce puede abrir la puerta a atacantes avanzados.

Para Cloudflare, el impacto fue limitado a los casos de soporte, pero la magnitud del ataque a nivel global sugiere que GRUB1 busca credenciales reutilizables para preparar futuros golpes contra clientes de múltiples sectores.

Preguntas frecuentes (FAQ)

¿Qué debo hacer si soy cliente de Cloudflare?
Accede al portal de soporte y revisa qué datos compartiste en tus casos. Rota de inmediato cualquier token, API key o credencial que hayas incluido en esos tickets.

¿Qué tipo de información se filtró?
Principalmente datos de contacto y el contenido de los tickets de soporte (texto libre). Archivos adjuntos no fueron comprometidos.

¿Se vieron comprometidos los servicios de Cloudflare?
No. La infraestructura central de Cloudflare y sus servicios no fueron afectados. El ataque se limitó a los objetos “Case” en Salesforce.

Qué medidas de seguridad debería implementar mi empresa?