Cloudflare ha confirmado que un actor de amenazas obtuvo acceso limitado a su instancia de Salesforce entre el 12 y el 17 de agosto de 2025 (UTC) aprovechando credenciales OAuth del chat de soporte Salesloft Drift. El incidente no impactó los servicios ni la infraestructura core de Cloudflare, pero sí expuso campos de texto de casos de soporte en Salesforce, lo que incluye datos de contacto y el contenido de las conversaciones de soporte (p. ej., descripciones de problemas, configuraciones y —si algún cliente las pegó— claves, tokens o contraseñas). Los adjuntos y ficheros no se vieron afectados.
Cloudflare ha deshabilitado la integración y rotado secretos; además, ha encontrado y rotado 104 tokens de API propios hallados en los datos exfiltrados. Aun así, recomienda a todos los clientes revisar sus casos y rotar cualquier credencial compartida en soporte, dentro o fuera de Cloudflare, por tratarse de un ataque de cadena de suministro que afecta a centenares de empresas.
Qué se expuso exactamente
- Ámbito: objetos “Case” de Salesforce (casos de soporte).
- Incluye:
- Datos de contacto (empresa, email/teléfono del solicitante, dominio, país).
- Asunto y cuerpo del caso (texto libre) —donde algunos clientes podrían haber pegado tokens/contraseñas/logs/configuraciones.
- No incluye: adjuntos/archivos de casos.
- No afectado: servicios e infraestructura de Cloudflare.
Implicación práctica: trate como comprometida cualquier credencial o dato sensible que haya compartido por texto en casos de soporte (con Cloudflare o con otros proveedores impactados por el mismo vector).
Línea temporal (UTC) resumida
| Fecha | Hecho clave |
|---|---|
| 2025-08-09 | Reconocimiento inicial del actor (alias GRUB1): intento fallido de verificar un token en API de Cloudflare, “User-Agent: Trufflehog”. |
| 2025-08-12 | Acceso a Salesforce de Cloudflare con credencial de Salesloft Drift; enumeración de objetos. |
| 2025-08-13/14 | Reconocimiento ampliado: esquema de “Case”, recuentos de objetos, límites de API, flujos de trabajo. |
| 2025-08-16 | “Dry run”: conteo de casos antes de exfiltración. |
| 2025-08-17 | Exfiltración vía Salesforce Bulk API 2.0 (solo texto de casos) y borrado del job para encubrir huellas. |
| 2025-08-20 | Salesloft revoca conexiones Drift→Salesforce a nivel global. |
| 2025-08-23 | Notificación a Cloudflare por Salesforce/Salesloft. Inicio de respuesta. |
| 2025-08-25 | Cloudflare amplía contención, borra integraciones Drift, rota secretos y revisa terceros. |
| 2025-09-02 | Notificación a clientes y publicación de recomendaciones. |
Indicadores de compromiso (IOCs) publicados
- IPs:
44.215.108.109(infra AWS),208.68.36.90(infra DigitalOcean). - User-Agents observados:
TruffleHog(scanner de secretos).Salesforce-Multi-Org-Fetcher/1.0(tooling malicioso).Salesforce-CLI/1.0(CLI SF).python-requests/2.32.4,Python/3.11 aiohttp/3.12.15(scripting paralelo).
Acción: cruce estos IOCs con sus logs de Salesforce y de su proxy/WAF/EDR/SIEM para detectar accesos anómalos durante el periodo 9–20 de agosto (y adyacentes).
Qué debe hacer su organización (checklist accionable)
1) Identificar su exposición
- Revise sus casos en el Portal de Soporte de Cloudflare (Dashboard → Support → Technical Support → My Activities → Download Cases).
- Busque tokens/contraseñas en el cuerpo de texto (no en adjuntos) usando herramientas de detección de secretos (regex + entropía).
- Haga lo mismo con otros proveedores que usen Salesforce + Drift / Salesloft u otras integraciones OAuth similares.
2) Rotar credenciales (prioridad alta)
- Inmediatamente: rote cualquier secreto que figure en texto en casos (con Cloudflare y con otros vendors).
- Cloudflare: si compartió API Tokens, API Keys, Origin Pull/Certs, Access service tokens, Tunnel tokens, DNS API tokens, etc., rótelos y revise uso reciente.
- Terceros: rote claves de SaaS, integraciones OAuth, webhooks, tokens CI/CD, etc.
- Implemente un ciclo de rotación regular (p. ej., semanal para integraciones críticas) y inventario vivo de secretos.
3) Contener y endurecer integraciones
- Desconecte/borre cualquier conexión Salesloft Drift→Salesforce residual; revise que no existan extensiones o apps relacionadas en endpoints.
- Menor privilegio:
- Revise scopes de apps de terceros en Salesforce; elimine permisos no esenciales.
- Aplique IP allow-listing y session binding cuando sea posible.
- Evite cuentas admin para vendors.
- Monitorización reforzada:
- Alertas por exportaciones masivas, picos de API, logins inusuales (regiones, agentes, horarios).
- Telemetría entre terceros-a-terceros si es viable (difícil, pero crítico).
4) Forense y notificación
- Conserve evidencias (logs de Salesforce: Event Monitoring, API logs, Bulk API jobs; WAF/Proxy; EDR).
- Evalúe obligaciones de notificación (clientes/autoridades) según su marco legal (RGPD, contratos, etc.).
- Documente línea temporal interna, impacto y lecciones aprendidas.
5) Prevención a futuro (arquitectura y procesos)
- “Text-free secrets”: prohíba compartir secrets por texto en tickets; use portales seguros, cofres o links efímeros con TTL.
- DLP y redacciones: active DLP sobre campos de texto en Salesforce (detección y ofuscación) y redacción automática de tokens.
- Zero Trust/OAuth posture:
- Catalogación de apps, consent reviews periódicos, aprobación central de nuevas integraciones.
- SSO + MFA obligado para todas las apps conectadas; políticas condicionales.
- Table-top exercises: simule brechas de cadena de suministro SaaS (OAuth) y ponga a prueba su playbook.
Qué ha hecho Cloudflare hasta ahora
- Deshabilitó la integración comprometida y eliminó software/extensiones Drift.
- Rotó credenciales y revisó todas las integraciones de Salesforce; amplió la rotación a otros servicios de terceros.
- Escaneó los casos exfiltrados, halló 104 tokens de API propios y los rotó (sin actividad maliciosa asociada detectada).
- Notificó a los clientes afectados y publicó IOCs y recomendaciones.
Preguntas clave (y respuestas breves)
¿Se comprometieron mis sitios o servicios en Cloudflare?
No por este incidente. El impacto fue limitado a datos de Salesforce (texto de casos). Infraestructura y servicios de Cloudflare no fueron comprometidos.
¿Se exfiltraron adjuntos o archivos de los casos?
Cloudflare indica que no: el actor solo extrajo campos de texto de objetos “Case”. Aun así, extreme precauciones si sus adjuntos contienen secretos (por política general).
¿Debo rotar credenciales aunque no recuerde haberlas compartido?
Sí, si existe posibilidad de que alguna vez pegara secretos en un caso (con Cloudflare u otros vendors) o si usa integraciones OAuth afectadas. Es un ataque de cadena de suministro.
¿Qué riesgo hay a partir de ahora?
El actor podría usar datos de contacto, contexto técnico y posibles secretos para phishing dirigido, tomas de cuenta o movimientos laterales. De ahí la urgencia de rotar y monitorizar.
Plantilla rápida de comunicación interna (opcional)
Asunto: Acción inmediata – Rotación de credenciales y revisión de casos de soporte
Mensaje: Debido a un incidente de terceros (Salesloft Drift↔Salesforce) que afectó a múltiples empresas (incluida Cloudflare), debemos:
- Auditar casos de soporte (Cloudflare y otros) en busca de secretos en texto.
- Rotar de inmediato tokens/contraseñas potencialmente expuestos.
- Revisar integraciones OAuth y limitar permisos (least privilege).
- Activar vigilancia reforzada y alertas por exportaciones inusuales.
Reportar avances en 24 h.
Conclusión
Este es un ejemplo claro del riesgo sistémico que introducen las integraciones SaaS mediante OAuth: un solo proveedor en la cadena puede abrir la puerta a centenares de organizaciones. La prioridad ahora es cerrar la ventana de exposición (rotando secretos), investigar indicios (IOCs y logs) y endurecer el gobierno de integraciones (menor privilegio, DLP, SSO/MFA, monitorización).
Cloudflare ha ofrecido transparencia, IOCs y un playbook razonable. El resto depende de cada organización: disciplina en gestión de secretos, seguridad por diseño en soporte y higiene continua en SaaS.
vía: blog.cloudflare.com y Salesloft
