La historia empezó de manera casi invisible, como ocurre tantas veces en las grandes crisis digitales. Un componente aparentemente rutinario —la integración de Salesloft Drift con Salesforce— se convirtió en la puerta trasera perfecta para un grupo de atacantes. Entre el 8 y el 18 de agosto, aprovecharon vulnerabilidades en el manejo de tokens OAuth y de actualización para acceder a los entornos CRM de centenares de compañías.
Lo que en un principio parecía un incidente aislado pronto se reveló como una brecha de cadena de suministro en toda regla. Y no cualquier brecha: el efecto dominó alcanzó a Cloudflare, Zscaler y Palo Alto Networks, tres de los nombres más reconocidos en la industria de la ciberseguridad. La paradoja es evidente: las compañías que deben blindar a miles de clientes frente a las amenazas se vieron expuestas a través de un eslabón en apariencia inocuo de su ecosistema tecnológico.
Cloudflare reconoció que los atacantes extrajeron datos de soporte y localizaron 104 tokens de API en la información comprometida. Zscaler admitió la filtración de información de contacto de clientes y contenido de tickets. Y Palo Alto Networks confirmó que se exfiltraron registros de cuentas y casos internos, en algunos con credenciales incluidas en el texto. En todos los casos, la narrativa oficial es la misma: los productos y servicios críticos no fueron tocados. Pero el daño reputacional está hecho.
No es la primera vez que vemos este patrón. La industria aún recuerda la brecha de SolarWinds en 2020, donde un ataque a un software de gestión de red se convirtió en la vía de entrada a organismos gubernamentales y grandes empresas. O el caso Kaseya en 2021, cuando un proveedor de gestión de TI fue la llave para desplegar ransomware a cientos de clientes. En todos ellos, la lección fue idéntica: las cadenas de suministro son tan fuertes como su eslabón más débil.
El mercado parece estar de acuerdo en que Salesloft actuó tarde y a la defensiva. Primero, minimizó el impacto, asegurando que solo quienes usaban la integración Drift-Salesforce estaban en riesgo. Poco después, Google y Mandiant confirmaban que el alcance era mucho mayor y recomendaban tratar todas las credenciales vinculadas a Drift como comprometidas. Salesforce reaccionó deshabilitando todas las integraciones de Salesloft en su plataforma.
El espejo de NIS2: lo que el incidentes de Salesloft anticipa
El incidente de Salesloft Drift encaja casi al milímetro en las preocupaciones que la Directiva NIS2 intenta atajar en Europa. La norma, que amplía de forma significativa el número de sectores y empresas obligadas a cumplir con medidas de ciberseguridad, pone un acento especial en la gestión del riesgo en la cadena de suministro.
La directiva establece que las organizaciones deben evaluar de forma sistemática la seguridad de los proveedores de servicios digitales críticos —como integraciones SaaS, chatbots o plataformas de ventas— y garantizar que existen planes de contingencia ante incidentes como este, en el que eslabón débil como Drift se convierte en un caso de manual de los escenarios que NIS2 busca evitar.
De aplicarse el marco de NIS2 en este contexto, empresas como Salesloft tendrían que demostrar controles de seguridad sólidos en el desarrollo y operación de sus integraciones, así como una gestión proactiva de vulnerabilidades y notificación temprana de incidentes. Los clientes europeos que usen estas soluciones, por su parte, estarían obligados a exigir esas garantías contractuales y a incluir este tipo de proveedores en sus evaluaciones periódicas de riesgos de terceros.
Lo interesante es que NIS2 también introduce responsabilidad a nivel de dirección. Los consejos de administración y altos ejecutivos deben estar formados en ciberseguridad y responder ante fallos en la gestión de riesgos. Si una debacle similar ocurriera en Europa, no solo se hablaría de la exposición de datos y la reacción técnica, sino también de posibles sanciones millonarias y consecuencias legales para las compañías que no hubieran aplicado las medidas mínimas exigidas por la directiva.
Más allá de las rotaciones de tokens, las revisiones forenses y los comunicados de transparencia, lo que deja esta debacle es un recordatorio de que el verdadero campo de batalla de la ciberseguridad ya no es solo el perímetro clásico, sino la red de conexiones invisibles que sostienen el negocio digital moderno
