Blog Secuestro de datos

Anatomía de una vulneración de datos de Salesforce: detener la suplantación de identidad de usuarios

Cómo un mal actor se hace pasar sistemáticamente por usuarios para exfiltrar millones de registros de Salesforce.

 

Tenga en cuenta que este blog se tradujo con la ayuda de IA y un traductor humano lo revisó.

Nolan Necoechea
3 min read
Last updated 1 de septiembre de 2025
Salesforce breach story

Contents

    Un actor malintencionado que se hace pasar por usuarios es increíblemente difícil de detectar en Salesforce. Una vez que un actor malintencionado obtiene credenciales legítimas, puede hacerse pasar por administradores, acceder a datos confidenciales y exfiltrarlos, a menudo sin disparar alarmas. 

    Al cambiar entre identidades de usuario, los atacantes pueden mezclarse con el ruido de las grandes organizaciones. Con jerarquías complejas de perfiles, conjuntos de permisos, roles y permisos del sistema, estos ataques son difíciles de localizar y prevenir en Salesforce. 

    En este artículo, desglosaremos un ataque de suplantación de identidad en el mundo real que llevó a la exfiltración de millones de registros y cómo puede prevenir los ataques de suplantación de identidad de usuarios. 

    Anatomía de la vulneración 

    Una gran organización multinacional se acercó a nosotros tras descubrir que millones de registros se habían exfiltrado de su CRM de Salesforce. Después de una investigación exhaustiva, determinamos cómo el actor malicioso logró pasar desapercibido. 

    Así es como se desarrolló la vulneración: 

    • Un exempleado, familiarizado con el entorno de Salesforce de la organización, convenció al servicio de asistencia para que restableciera su contraseña. 
    • Una vez restablecida, desbloquearon su cuenta, y así recuperó todos los permisos anteriores. Luego escalaron su permiso a superadministrador. 
    • Una vez que tuvo privilegios de superadministrador, comenzó a suplantar sistemáticamente a los usuarios y a buscar datos confidenciales. 
    • A primera vista, estas sesiones parecían rutinarias. Sin un examen minucioso, las sesiones parecían actividades rutinarias de soporte de TI, pero la frecuencia y el momento dispararon señales de alerta durante nuestra evaluación de riesgos. 
    • Finalmente, el atacante utilizó una aplicación de terceros no segura para exfiltrar millones de registros sin que lo detectaran. 

    Diagnóstico del riesgo de datos de Salesforce 

    Con más de un millón de usuarios, este entorno era intrínsecamente difícil de administrar, pero algunos riesgos clave evitables contribuyeron a la vulneración de datos.  

    Esto es lo que descubrimos: 

    1. Cuentas congeladas con derechos de administrador

    La organización tenía más de 600 cuentas de superadministrador, muchas de las cuales estaban bloqueadas. Sin embargo, esas cuentas bloqueadas aún conservaban todos los permisos. En Salesforce, el bloqueo de una cuenta no elimina sus permisos. Si se reactiva, la cuenta recupera todo el acceso anterior. 

    Esto crea un riesgo significativo. Los actores de amenazas como Scattered Spider usan ingeniería social para convencer a los servicios de asistencia de que restablezcan contraseñas y MFA, lo que reactiva cuentas bloqueadas con privilegios intactos. 

    2. Asignaciones de aplicaciones obsoletas

    La organización tenía docenas de asignaciones de aplicaciones obsoletas. Estas asignaciones de aplicaciones obsoletas a menudo conservan tokens y permisos de OAuth, lo que crea una puerta trasera para que los atacantes o las personas maliciosas accedan y exfiltren datos confidenciales. 

    3. Datos de producción en un entorno de prueba

    Quizás el problema más alarmante es que los datos de producción de esta organización se sincronizaban con un entorno de prueba masivo. Los entornos de prueba suelen carecer de los estrictos controles de los entornos de producción, lo que crea una mezcla peligrosa de datos confidenciales y controles de acceso más débiles. 

    Automatically remediate user risk with Varonis for Salesforce.
    Learn more
    VaronisCloud@2x

    Cómo prevenir la suplantación de usuarios en Salesforce 

    Si bien la suplantación de identidad del usuario es difícil de detectar, esta vulneración se pudo prevenir. Aquí le explicamos cómo solucionar las vulneraciones: 

    Eliminar permisos no utilizados 

    Audite y elimine los permisos que ya no son necesarios. Al bloquear una cuenta, elimine sus permisos para reducir la superficie de ataque y simplificar las auditorías. Las revisiones regulares ayudan a hacer cumplir el principio de privilegio mínimo

    Revocar asignaciones de aplicaciones obsoletas 

    Audite el acceso a aplicaciones de terceros y elimine las asignaciones que ya no son relevantes. Esto elimina la exposición innecesaria y reduce el riesgo de exfiltración de datos a través de integraciones olvidadas. 

    Separar los datos de producción y de sandbox 

    La mejor práctica es no sincronizar los datos de producción en entornos de prueba. Mantenga los entornos aislados para evitar la exposición accidental y mantenga controles de acceso más estrictos. 

    Cómo ayuda Varonis 

    La recomendación anterior puede ser difícil de implementar, especialmente en una organización grande. Varonis proporciona la solución de seguridad de Salesforce más completa disponible para eliminar riesgos y detectar amenazas con remediaciones automatizadas para garantizar que la seguridad y la detección de amenazas escalen.  

    Ajuste correctamente los permisos 

    Varonis le muestra los permisos efectivos de cada usuario y cómo los obtuvieron con remediación automatizada, como la eliminación de permisos de cuentas bloqueadas u obsoletas. 

    Gestionar el riesgo de las aplicaciones de terceros 

    Varonis descubre todas las aplicaciones de terceros conectadas, evalúa su riesgo y monitorea su actividad. Puede eliminar automáticamente las conexiones de aplicaciones no sancionadas o no utilizadas. 

    Detectar actividad anómala 

    Varonis monitorea de forma proactiva Salesforce y su patrimonio de datos más amplio en busca de comportamientos sospechosos, incluida la escalada de privilegios, el acceso masivo a objetos y la exfiltración de datos. Varonis correlaciona identidades entre aplicaciones para detectar amenazas como un usuario que inicia sesión a través de Okta, accede a Salesforce y envía datos por correo electrónico a una cuenta personal. 

    Pruebe Varonis para Salesforce 

    Para proteger sus datos confidenciales, debe saber dónde se encuentran, quién puede acceder a ellos y qué están haciendo con ellos. Solo Varonis reúne todo esto en una sola plataforma. 

    Varonis protege Salesforce y otras aplicaciones SaaS, datos en la nube y locales. 

    ¿Está interesado en descubrir qué riesgos se encuentran en su entorno de Salesforce? Comience una Evaluacion de riesgo sobre los datos hoy mismo. 

    ¿Qué pasos debo seguir ahora?

    A continuación,a le presentamos tres maneras de avanzar en la reducción del riesgo de datos en su empresa:

    1

    Programe una demostración con nosotros Vea a Varonis en acción en una sesión personalizada según las necesidades específicas de seguridad de datos de su organización. Estaremos encantados de responder a todas sus preguntas.

    2

    Revise un ejemplo de nuestra evaluación de riesgo sobre los datos (DRA) Conozca los riesgos que podrían estar presentes en su entorno. La DRA de Varonis es completamente gratuita y ofrece un camino claro hacia la remediación automatizada.

    3

    Síganos en LinkedIn, YouTube, and X (Twitter) Obtenga información detallada sobre la seguridad de datos, incluyendo la administración de la postura de seguridad de datos (DSPM), la detección de amenazas, la seguridad de la IA y mucho más.

    Nolan Necoechea
    Nolan Necoechea Nolan Necoechea is a product marketing strategist at Varonis. He has spent more than a decade working with data and AI innovators.

    Prueba Varonis gratis.

    Obtenga un informe detallado de riesgos de datos basado en los datos de su empresa.
    Se implementa en minutos.
    Empezar Ver muestra

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    varonis-anuncia-una-asociación-estratégica-con-microsoft-para-ayudar-a-asegurar-el-futuro-de-la-ia
    Varonis anuncia una asociación estratégica con Microsoft para ayudar a asegurar el futuro de la IA
    varonis-anuncia-una-asociación-estratégica-con-microsoft-para-ayudar-a-asegurar-el-futuro-de-la-ia
    Yaki Faitelson
    18 de agosto de 2025
    Las empresas unen fuerzas para ofrecer seguridad de datos escalable, gobernanza y cumplimiento para la era de la IA
    riesgos-ocultos-de-shadow-ai
    Riesgos ocultos de Shadow AI
    riesgos-ocultos-de-shadow-ai
    Jonathan Villa
    11 de julio de 2025
    La shadow AI está en aumento a medida que los empleados adoptan herramientas de IA no autorizadas. Conozca los riesgos que plantea para la seguridad y el cumplimiento con normas de seguridad, y cómo gestionarlo de forma responsable.
    presentamos-varonis-para-chatgpt-enterprise
    Presentamos Varonis para ChatGPT Enterprise
    presentamos-varonis-para-chatgpt-enterprise
    Shawn Hays
    23 de junio de 2025
    La plataforma de seguridad de datos líder en la industria de Varonis es compatible con ChatGPT Enterprise de OpenAI, manteniendo los datos seguros contra los riesgos de uso indebido y exposure de la IA.