- ShinyHunters abusó de la confianza de OAuth en Salesforce engañando a los usuarios y luego comprometiendo las integraciones de SaaS, robando tokens para acceder a cientos de entornos de clientes.
- El informe sugirió 700 víctimas; Los atacantes extraen datos a través de API legítimas, haciendo que la actividad parezca normal y persistente
- Microsoft respondió con la actualización de Defender for Cloud Apps, añadiendo telemetría más completa, detección casi en tiempo real y una administración más sólida de las aplicaciones conectadas a OAuth.
El grupo de cibercrimen ShinyHunters fue tan creativo al irrumpir en el entorno corporativo de Salesforce que forzaron la mano de Microsoft, obligando a la empresa a introducir nuevas actualizaciones de seguridad para combatir los ataques.
Microsoft reveló que se está centrando en mejorar la visibilidad de las aplicaciones conectadas a OAuth y fortalecer la gobernanza de las integraciones de terceros en Microsoft Defender para aplicaciones en la nube. Los cambios se dividen en dos categorías principales: detección e investigación mejoradas, y nuevas capacidades de postura y gobernanza.
Se entiende que algunos informes afirman que la campaña de un año de duración tiene hasta 700 víctimas.
Cambio y mejora
Pero primero, un poco de contexto: en agosto de 2025, se informó que los operativos de ShinyHunters estaban llamando a sus objetivos por teléfono, afirmando ser soporte de TI y convenciéndolos para que aprobaran una aplicación de carga de datos Salesforce aparentemente legítima. De hecho, esta aplicación estaba controlada por los atacantes y solicitaba permisos OAuth que les permitían acceder a los datos de Salesforce a través de la API oficial.
Debido a que todo sucedió mediante autenticación válida y llamadas API, la actividad parecía un comportamiento normal del usuario.
En los meses siguientes, la campaña se desarrolló. En lugar de engañar a los empleados individuales, ShinyHunters comprometió a proveedores externos de SaaS que se integran con Salesforce, incluida la integración Drift de Salesloft, Gainsight y, posteriormente, Klue.
Al robar tokens OAuth o secretos de integración de estos proveedores, obtuvieron acceso al entorno de Salesforce para cientos de clientes intermedios sin interactuar con cada cliente individualmente.
En un momento, Google dijo a los periodistas que tenía conocimiento de más de 700 empresas potencialmente afectadas.
“Microsoft consultó con Salesforce para mejorar la granularidad en la telemetría para aplicaciones en la nube con detección casi en tiempo real, ofreciendo atribución de aplicaciones conectadas e información ampliada sobre permisos de aplicaciones”, dijo la compañía en un nuevo informe. “Esta actividad no fue el resultado de una vulnerabilidad inherente en Salesforce. Más bien, los actores de amenazas abusaron de las relaciones confiables de OAuth para obtener acceso no autorizado, exfiltración de datos y persistencia”.
En otras palabras, Microsoft ha permitido una mayor visibilidad de las aplicaciones conectadas a OAuth y su actividad, ha permitido una mejor detección de comportamientos sospechosos de API y OAuth a través de telemetría y correlación enriquecidas, y ahora proporciona una gobernanza sólida de las aplicaciones conectadas a través de análisis de permisos, puntuación de riesgos y gestión del ciclo de vida.

El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.