El grupo de extorsión obtuvo tokens de autenticación del proveedor de análisis Anodot, adquirido por Glassbox en 2025. Snowflake confirma actividad inusual y bloqueó cuentas potencialmente afectadas mientras los atacantes intentaron acceder también a Salesforce.
Más de una docena de empresas sufrieron robo de datos después de que un proveedor de integración SaaS fuera comprometido y sus tokens de autenticación robados, según ha confirmado BleepingComputer. Aunque múltiples proveedores de almacenamiento en la nube y servicios SaaS fueron objetivo de los atacantes utilizando los tokens sustraídos, la plataforma de datos en la nube Snowflake concentró la mayor parte de los incidentes de exfiltración.
Snowflake admitió ante el medio que detectó "actividad inusual" vinculada a una integración de terceros específica, procediendo a bloquear preventivamente las cuentas de clientes potencialmente afectadas y notificar a las organizaciones involucradas.
La investigación apunta a Anodot, empresa de detección de anomalías basada en inteligencia artificial adquirida por Glassbox en noviembre de 2025, como el origen de la cadena de compromiso. Anodot proporciona monitorización en tiempo real de cambios inusuales en ingresos, transacciones y rendimiento de sistemas para empresas que confían en sus credenciales para acceder a plataformas como Snowflake.
El grupo de extorsión ShinyHunters confirmó a BleepingComputer ser el autor de la campaña, afirmando haber extraído datos de docenas de empresas el pasado viernes y revelando que mantuvieron acceso a los sistemas de Anodot durante un período prolongado antes de ejecutar los robos masivos.
El vector de ataque aprovechó la arquitectura de confianza inherente a los integradores de terceros: las empresas otorgan tokens de autenticación a proveedores como Anodot para que puedan conectarse a sus instancias de Snowflake y Salesforce sin intervención manual. Cuando el integrador es comprometido, esos tokens se convierten en llaves maestras que los atacantes pueden utilizar para acceder directamente a los datos del cliente final, sin necesidad de vulnerar los sistemas del proveedor principal.
Snowflake enfatizó que sus propios sistemas no presentaron ninguna vulnerabilidad ni fueron comprometidos directamente, subrayando que el fallo residía en la cadena de suministro de confianza.
Los atacantes también intentaron utilizar los tokens robados para acceder a datos de Salesforce, pero fueron detectados y bloqueados por sistemas de inteligencia artificial antes de completar la exfiltración. Este bloqueo se produce en un contexto de oleada de ataques de robo de datos contra clientes de Salesforce durante el último año, lo que sugiere que los grupos criminales han identificado las plataformas SaaS empresariales como objetivos de alto valor con controles de seguridad heterogéneos según cada implementación. El hecho de que ShinyHunters fuera interceptado en Salesforce pero lograra exfiltrar datos de Snowflake revela discrepancias críticas en las capacidades de detección entre plataformas.
Para las organizaciones en América Latina que utilizan Snowflake u otras plataformas de datos en la nube con integraciones de terceros, el incidente expone una vulnerabilidad sistémica: la confianza delegada. Los tokens de autenticación otorgados a integradores representan una superficie de ataque ampliada que muchas organizaciones no monitorean activamente.
La recomendación inmediata incluye auditar todas las integraciones de terceros activas, implementar rotación periódica de tokens, restringir los permisos al mínimo necesario y habilitar alertas de actividad inusual en cuentas de servicio. Las empresas afectadas enfrentan ahora extorsión por parte de ShinyHunters, que exige pagos de rescate bajo amenaza de publicar los datos robados, un patrón que el grupo ha replicado en múltiples campañas desde 2020.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Johan Ricardo