El 2 de septiembre de 2025, Cloudflare, un gigante en seguridad en línea, confirmó haber sido víctima colateral de un ataque sofisticado dirigido a Salesloft Drift, una popular plataforma de chat conectada a Salesforce. El ataque, perpetrado por un actor identificado como GRUB1, permitió el acceso no autorizado a información sensible almacenada en las solicitudes de soporte de clientes de Cloudflare entre el 12 y el 17 de agosto.
A pesar de que la infraestructura y los servicios principales de Cloudflare no se vieron comprometidos, el incidente expuso datos críticos como información de contacto y descripciones de problemas técnicos, e incluso posibles tokens o credenciales compartidos por los clientes. La magnitud del ataque destaca la vulnerabilidad de la cadena de suministro en los servicios SaaS, ya que la brecha resultante afectó a cientos de empresas integradas con Salesforce.
Investigaciones revelan que los atacantes explotaron credenciales OAuth del chatbot de Drift para obtener acceso a varias instancias de Salesforce, realizar un reconocimiento exhaustivo y, finalmente, llevar a cabo una exfiltración masiva de datos usando la Salesforce Bulk API 2.0.
Cloudflare informó que sólo los objetos «Case» de Salesforce fueron comprometidos. Aunque los archivos adjuntos se mantuvieron seguros, el riesgo principal fue que clientes hubieran incluido datos sensibles en texto, lo que llevó a Cloudflare a rotar proactivamente 104 tokens de API identificados en los datos filtrados.
En respuesta al incidente, Cloudflare activó un equipo de respuesta a incidentes, implementando contención inmediata, investigación forense, medidas preventivas, y comunicando con transparencia sus hallazgos y acciones a los clientes afectados. Las medidas incluyeron la desconexión de Drift/Salesloft, revocación de credenciales vulneradas, y la adopción de nuevos controles de seguridad.
Para organizaciones que utilizan Salesforce u otras plataformas SaaS, los expertos recomiendan estructurar un plan de respuesta en fases: contener de inmediato, investigar y mitigar en las horas posteriores, y, a largo plazo, fortalecer las defensas y monitorear continuamente las anomalías. Esto incluye la rotación regular de credenciales, el establecimiento de políticas de DLP para impedir compartir claves en texto, y realizar simulacros de brechas de seguridad.
El incidente subraya la creciente amenaza que representan las integraciones de terceros en la seguridad corporativa. Cada aplicación conectada a plataformas críticas como Salesforce puede ser un punto de entrada para ataques avanzados, como quedó demostrado con la acción de GRUB1. Mientras que para Cloudflare el impacto fue limitado al ámbito de soporte, este tipo de ataques pueden ser un preludio a infracciones más amplias y devastadoras.
Finalmente, Cloudflare reafirma que su infraestructura central permanece segura, pero insta a sus clientes a revisar y rotar cualquier credencial compartida en tickets de soporte y continuar aplicando medidas de seguridad robustas para proteger sus propios ecosistemas frente a amenazas a la cadena de suministro en el ámbito SaaS.
