Vivobook S14 BannerOfertas Navidad Banner
Actualidad
Google confirma que el ataque a Salesloft Drift comprometió tokens OAuth y llegó a algunas cuentas de Workspace

Google confirma que el ataque a Salesloft Drift comprometió tokens OAuth y llegó a algunas cuentas de Workspace

por Manuel Naranjo

Lo que en un principio parecía un ataque limitado a integraciones concretas ha terminado siendo un incidente de mayor alcance. Google ha reconocido que la violación de seguridad que afectó a Salesloft Drift y Salesforce no solo comprometió tokens OAuth relacionados con sus integraciones, sino que también impactó a un reducido número de cuentas de Google Workspace, lo que eleva la gravedad del caso.

De un incidente puntual a un problema más amplio

La primera alerta llegó el pasado 26 de agosto, cuando el equipo de inteligencia de amenazas de Google, Mandiant (GTIG), informó de que un grupo de atacantes había robado tokens OAuth vinculados a la integración del chat de Drift AI dentro de Salesforce. En aquel momento, todo apuntaba a un ataque dirigido a esa conexión específica.

Los ciberdelincuentes, identificados por Google con el código UNC6395, usaron esos tokens para colarse en las instancias de Salesforce de varias organizaciones. Una vez dentro, ejecutaron consultas en tablas críticas como Casos, Cuentas, Usuarios y Oportunidades, lo que les permitió revisar de forma masiva información delicada almacenada en tickets y mensajes de soporte al cliente. Entre esos datos había claves de acceso de AWS, tokens de Snowflake y contraseñas que, en manos equivocadas, pueden abrir la puerta a nuevos ataques en otras plataformas en la nube.

Google confirma que el ataque también tocó su terreno

En la actualización publicada hoy, Google ha tenido que reconocer que el compromiso no se quedó en Salesforce. Según los datos recabados, los atacantes también lograron robar tokens OAuth asociados a la integración de Drift Email, y el pasado 9 de agosto utilizaron esas credenciales para acceder al correo electrónico de un “número muy pequeño” de cuentas de Google Workspace conectadas directamente con Drift.

La compañía insiste en que el impacto fue limitado y que ninguna otra cuenta dentro de los dominios afectados llegó a verse comprometida. Tampoco hay evidencias de que la infraestructura principal de Google Workspace ni de Alphabet sufriera daño alguno. Como medida inmediata, Google ha revocado los tokens robados, ha notificado a los clientes afectados y ha deshabilitado la integración entre Drift Email y Google Workspace mientras sigue analizando lo sucedido.

Geeknetic Google confirma que el ataque a Salesloft Drift comprometió tokens OAuth y llegó a algunas cuentas de Workspace 1

Recomendaciones y medidas preventivas

El mensaje de Google es claro: todas las organizaciones que utilicen Drift deben considerar comprometidos todos los tokens de autenticación almacenados o vinculados con la plataforma. La recomendación pasa por revocar y rotar credenciales, así como auditar los sistemas conectados para identificar posibles accesos no autorizados.

Además, aconsejan revisar de forma exhaustiva todas las integraciones de terceros que funcionen junto a Drift, comprobar si hay secretos o credenciales expuestas y restablecerlas inmediatamente en caso de duda. El objetivo es evitar que los atacantes puedan reutilizar accesos privilegiados para extender el alcance de la intrusión.

Salesforce y Salesloft también reaccionan

No solo Google ha tenido que mover ficha. Salesloft actualizó su aviso oficial el pasado 28 de agosto, confirmando que Salesforce ha optado por deshabilitar las integraciones de Drift con Salesforce, Slack y Pardot de manera temporal, hasta que finalice la investigación en curso.

La propia Salesloft ha reforzado su equipo de respuesta contando con la colaboración de Mandiant y Coalition, dos firmas de referencia en el ámbito de la ciberseguridad. El objetivo es doble: contener los posibles daños y dar garantías a sus clientes de que se está trabajando a fondo para evitar que algo así se repita.

Un recordatorio de lo frágiles que son las integraciones

Este caso vuelve a poner sobre la mesa uno de los grandes retos del software empresarial moderno: las integraciones entre plataformas. Conectar herramientas ahorra tiempo y facilita procesos, pero también multiplica los puntos de entrada que un atacante puede explotar. Un solo token OAuth robado puede convertirse en la llave maestra para acceder a datos críticos en distintos servicios.

Por ahora, el impacto directo sobre los clientes parece contenido, pero el hecho de que la brecha alcanzara incluso a Google Workspace es un toque de atención. La recomendación para las organizaciones es clara: revisar, auditar y no dar por seguras las integraciones de terceros sin un control constante.

Fin del Artículo. ¡Cuéntanos algo en los Comentarios!

Temas Relacionados: Redes Seguridad Informática Google Ciberseguridad Workspace
Redactor del Artículo: Manuel Naranjo

Manuel Naranjo

Ingeniero informático y Técnico Superior en Topografía, que dejó las obras por su pasión: la tecnología. Desde hace ya varios años me dedico a lo que me gusta, con eso lo digo todo. Mi filosofía es el trabajo y la ilusión, no conozco otra forma de conseguir las cosas. El motor (sobre todo la F1) y el basket, mis vicios confesables.

También te puede interesar Otros artículos y noticias sobre tecnología
NVIDIA invertirá 1.000 millones de dólares en Nokia y se hará con el 2,9% de la compañía
129/10/2025

NVIDIA invertirá 1.000 millones de dólares en Nokia y se hará con el 2,9% de la compañía

ASUS presenta el ROG Rapture GT-BE19000AI, un router con IA integrada y soporte Docker que convierte la red doméstica en un servidor inteligente
130/10/2025

ASUS presenta el ROG Rapture GT-BE19000AI, un router con IA integrada y soporte Docker que convierte la red doméstica en un servidor inteligente

Samsung y OpenAI se alían para impulsar Stargate con 900.000 obleas de DRAM al mes y centros de datos flotantes de nueva generación
102/10/2025

Samsung y OpenAI se alían para impulsar Stargate con 900.000 obleas de DRAM al mes y centros de datos flotantes de nueva generación

SpaceX estudia usar módems con NPU de Samsung en satélites LEO para mejorar predicción de señal y reducir cortes en comunicaciones NTN
124/10/2025

SpaceX estudia usar módems con NPU de Samsung en satélites LEO para mejorar predicción de señal y reducir cortes en comunicaciones NTN

AMD recorta la latencia un 40 % y duplica el rendimiento con los nuevos adaptadores Ethernet Solarflare X4
108/10/2025

AMD recorta la latencia un 40 % y duplica el rendimiento con los nuevos adaptadores Ethernet Solarflare X4

Primera prueba de Wi-Fi 8 completada por TP-Link, enlace y transmisión de datos realizados con éxito
114/10/2025

Primera prueba de Wi-Fi 8 completada por TP-Link, enlace y transmisión de datos realizados con éxito

Comentarios y opiniones sobre: Google confirma que el ataque a Salesloft Drift comprometió tokens OAuth y llegó a algunas cuentas de Workspace ¿Qué opinas? ¿Alguna pregunta?
BestiaBanquete Banner