2 min de lectura

Microsoft refuerza las defensas OAuth tras los ataques de ShinyHunters

Microsoft actualizó Defender for Cloud Apps después de que ShinyHunters abusara de flujos OAuth de Salesforce e integraciones SaaS en una campaña vinculada a hasta 700 víctimas.

Imagen: TechRadar

Microsoft está desplegando nuevas funciones de seguridad en Defender for Cloud Apps después de que el grupo delictivo cibernético ShinyHunters explotara conexiones OAuth de confianza en entornos de Salesforce y, posteriormente, pivotara a través de integraciones SaaS de terceros.

Según informes citados por TechRadar, la campaña pudo haber afectado hasta 700 organizaciones durante aproximadamente un año. Google dijo anteriormente que conocía más de 700 organizaciones posiblemente afectadas.

El ataque salió a la luz por primera vez en agosto de 2025, cuando, según se informó, los operadores de ShinyHunters llamaron a las víctimas haciéndose pasar por soporte técnico. Convencieron a los usuarios de autorizar una aparente aplicación legítima de Salesforce Data Loader que en realidad estaba controlada por los atacantes. Una vez aprobada, la aplicación obtuvo permisos OAuth que permitieron al grupo acceder a datos de Salesforce a través de las APIs oficiales.

Recomendado

Nuevo malware para macOS elude a Gatekeeper

Eso dificultó la detección de la actividad, porque se mezclaba con el tráfico normal de autenticación y de las APIs.

La campaña luego se expandió más allá del ataque a empleados individuales. Los atacantes comprometieron proveedores SaaS de terceros conectados a Salesforce, incluida la integración Drift de Salesloft, Gainsight y, más tarde, Klue. Al robar tokens OAuth o secretos de integración de esos proveedores, pudieron alcanzar cientos de entornos Salesforce de clientes posteriores sin tener que engañar a cada víctima por separado.

Microsoft dijo que su respuesta se centra en dos áreas: una mejor detección e investigación y nuevas capacidades de postura y gobernanza.

Microsoft consultó con Salesforce para mejorar la granularidad de la telemetría en Defender for Cloud Apps con detección casi en tiempo real, ofreciendo atribución de aplicaciones conectadas y información ampliada sobre permisos de aplicaciones. Esta actividad no fue el resultado de una vulnerabilidad inherente a Salesforce. Más bien, los actores de la amenaza abusaron de relaciones OAuth de confianza para obtener acceso no autorizado, exfiltrar datos y mantener persistencia.

Microsoft

En la práctica, eso significa una telemetría más completa para las aplicaciones conectadas por OAuth, mejor correlación del comportamiento sospechoso en APIs y OAuth, y controles más estrictos sobre las aplicaciones conectadas mediante análisis de permisos, puntuación de riesgo y gestión del ciclo de vida.

Encabezado de los mejores antivirus
Encabezado de los mejores antivirus
Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía TechRadar

// Sigue leyendo