💡 Resumen (TL;DR):
- El grupo cibercriminal extrae información corporativa interna explotando permisos públicos excesivos en Salesforce Experience Cloud.
- La campaña compromete entre 300 y 400 organizaciones desde septiembre de 2025, burlando límites de extracción de 2,000 registros.
- Salesforce asegura que no es una vulnerabilidad nativa de su plataforma, sino un error de configuración cometido por sus propios clientes.
El grupo de cibercriminales ShinyHunters vulneró la seguridad de cientos de organizaciones tras explotar configuraciones defectuosas en los sitios de Salesforce Experience Cloud. La campaña masiva extrae información corporativa interna accediendo mediante perfiles de usuarios invitados, sin requerir ningún tipo de autenticación.
Los atacantes confirmaron que tienen acceso a los sistemas de 300 a 400 organizaciones desde que iniciaron la ofensiva en septiembre de 2025. Entre las víctimas figuran unas 100 compañías de alto perfil, varias operando directamente en el sector de la ciberseguridad.
La intrusión apunta directamente al endpoint de la API /s/sfsites/aura. AuraInspector es una herramienta de auditoría de código abierto que Mandiant liberó en enero de 2026 para identificar problemas de acceso. Sin embargo, ShinyHunters modificó este software para escanear masivamente la red y localizar permisos de usuario mal configurados.
Charles Carmakal, CTO de Mandiant, confirmó el abuso de su programa. “Estamos trabajando estrechamente con Salesforce y nuestros clientes para proporcionar la telemetría necesaria y las reglas de detección para mitigar el riesgo potencial”, declaró el directivo.
Tácticas de extracción y respuesta corporativa
Según reportes del RH-ISAC, los piratas informáticos lograron evadir el límite de consulta de 2,000 registros de Salesforce manipulando el parámetro sortBy en la API GraphQL. Además, programaron un sistema propio que agrupa hasta 250 acciones del servidor en una sola petición para acelerar el robo masivo de datos.
La empresa tecnológica rechazó que su arquitectura tenga fallos. “Nuestra investigación hasta la fecha confirma que esta actividad se relaciona con una configuración de usuario invitado configurada por el cliente, no con una falla de seguridad de la plataforma”, indicó Salesforce en su comunicado de emergencia.
Aunque Salesforce ya parchó el salto del parámetro sortBy, ShinyHunters asegura tener un nuevo método que funciona incluso en sistemas bien administrados. Por ahora, las recomendaciones técnicas oficiales para los equipos de IT incluyen:
- Auditar y restringir inmediatamente los permisos de usuarios invitados.
- Eliminar el ajuste “API Enabled” de los perfiles públicos.
- Configurar los accesos predeterminados de toda la organización como Privados.
- Monitorear los registros de Aura Event Monitoring buscando consultas inusuales.
- Desactivar el autoregistro de usuarios.
Este ataque replica las tácticas que ShinyHunters utilizó previamente contra entornos de Snowflake. El incidente demuestra cómo una simple mala gestión de accesos en infraestructuras cloud detona desastres corporativos masivos, anulando la necesidad de explotar vulnerabilidades de software tradicionales.
