El grupo criminal utiliza una versión modificada de AuraInspector para explotar configuraciones de usuarios invitado y exponer registros sensibles sin autenticación.
Salesforce confirmó esta semana una campaña de robo de datos masiva atribuida al grupo criminal ShinyHunters, la cual ha comprometido potencialmente a cientos de empresas. La compañía señaló que el actor amenazante está explotando configuraciones incorrectas en los sitios de Experience Cloud, específicamente aquellas que otorgan permisos excesivos a los perfiles de "usuario invitado".
Aunque el informe oficial de Salesforce enfatiza que la plataforma en sí no presenta vulnerabilidades, el impacto en los clientes finales es severo: información sensible expuesta a través de endpoints públicos que deberían ser restringidos.
La operación, rastreada por Google Cloud Threat Intelligence bajo los clústeres de amenaza UNC6661 y UNC6671, se distingue por su sofisticación técnica. Los atacantes desplegaron una versión modificada de la herramienta de código abierto Aura Inspector, originalmente desarrollada por Mandiant para auditorías de seguridad. Mientras que la herramienta original solo identifica objetos vulnerables, la variante utilizada por ShinyHunters logra extraer datos activamente.
El vector de ataque se centra en el endpoint /s/sfsites/aura de la API de Salesforce. Si un sitio de Experience Cloud permite el acceso público a objetos del CRM mediante este endpoint sin las restricciones adecuadas, los atacantes pueden realizar consultas directas a la base de datos sin necesidad de credenciales de autenticación.
El alcance de esta brecha es amplio. Fuentes del cibercrimen informan que la campaña, iniciada alrededor de septiembre de 2025, ha afectado a cerca de 400 organizaciones, incluyendo unas 100 empresas de alto perfil. Para sortear las limitaciones de la API de GraphQL de Salesforce, que restringe la consulta a 2,000 registros por llamada, los atacantes manipularon el parámetro sortBy. Esta técnica les permitió descargar volúmenes masivos de información, incluyendo datos personales (PII), nombres, números de teléfono y documentos internos. Una vez en posesión de esta información, ShinyHunters utiliza los datos robados para orquestar campañas de ingeniería social y vishing (phishing por voz) altamente específicas, tal como se detalla en el análisis de Google Cloud.
Desde la perspectiva de las víctimas, el riesgo inmediato no es solo la filtración de datos estáticos, sino su uso para comprometer aún más la infraestructura. Los atacantes utilizan la información recopilada para suplantar al personal de TI y engañar a los empleados para que entreguen credenciales de inicio de sesión único (SSO) y códigos de autenticación multifactor (MFA). Salesframe advierte que, una vez que se obtiene un token de sesión válido, los adversarios pueden moverse lateralmente dentro del entorno de Salesforce para ejecutar reportes masivos o exportar datos adicionales, transformando una brecha de configuración en un acceso total a la nube.
La respuesta inmediata para las organizaciones que utilizan Experience Cloud debe ser una auditoría agresiva de los permisos de los usuarios invitados. Se recomienda deshabilitar la opción "Permitir que los usuarios invitado accedan a API públicas" y eliminar el permiso "API habilitada" del perfil de usuario invitado, ya que esto cierra el vector de explotación del endpoint Aura. Además, establecer los valores predeterminados de toda la organización en "Privado" para el acceso externo impide que los registros se vuelvan accesibles inadvertidamente. Dado que el ataque a menudo se combina con robo de identidad, la implementación de MFA resistente a phishing, como claves de seguridad FIDO2/WebAuthn, es ahora una barrera crítica para detener la cadena de ataque antes de que los datos sean exfiltrados.
FUENTE ORIGINAL
Salesforce↗CURADO POR
Johan Ricardo