Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Gainsight Amplía Afectados tras Alerta de Seguridad en Salesforce

Escrito por Adriana Aguilar | Nov 28, 2025 1:15:00 PM

La seguridad en la nube vuelve a ponerse a prueba. Esta vez, el impacto lo están viviendo empresas que utilizan las integraciones de Gainsight dentro del ecosistema de Salesforce. Lo que comenzó como un aviso limitado por actividad sospechosa terminó convirtiéndose en un incidente mucho más amplio, con clientes adicionales afectados y un cibergrupo conocido reclamando la autoría.

Si tú o tu empresa dependen de integraciones en Salesforce, este caso es una advertencia clara: tus herramientas de confianza pueden convertirse en puntos de entrada para atacantes si un proveedor externo es vulnerado. En TecnetOne te contamos lo que debes saber y cómo protegerte.

 

El incidente: lo que empezó como algo pequeño… ya no lo es

 

Gainsight informó que la lista inicial de clientes comprometidos, solo tres, según la comunicación de Salesforce, se quedó corta. Después del 21 de noviembre de 2025, la compañía confirmó que el número de afectados creció, aunque no reveló la cifra exacta.

Chuck Ganapathi, CEO de Gainsight, trató de transmitir calma asegurando que “solo un puñado de clientes tiene datos realmente afectados”. Sin embargo, el incidente dejó claro que el daño se sigue evaluando y que el alcance real aún está en análisis.

La alerta se originó cuando Salesforce detectó actividad inusual desde aplicaciones publicadas por Gainsight y conectadas a su plataforma. Para contener el incidente, Salesforce revocó todos los tokens de acceso y actualización asociados a estas aplicaciones.

Poco después, el grupo cibercriminal ShinyHunters, también conocido como Bling Libra, reclamó la brecha.

 

Efecto dominó: otras plataformas desconectan a Gainsight

 

Para minimizar riesgos, otros proveedores que dependen de Gainsight tomaron medidas inmediatas:

 

  1. Zendesk suspendió temporalmente su integración.

  2. Gong.io hizo lo mismo.

  3. HubSpot desconectó la conexión con Gainsight y confirmó no haber sufrido ningún compromiso.

  4. Google deshabilitó clientes OAuth con URIs de callback que incluían gainsightcloud[.]com.

 

Esto refleja un patrón cada vez más común: cuando un proveedor sufre un ataque, las integraciones satélite reaccionan de forma preventiva para evitar un ataque en cadena.

 

 

¿Qué servicios de Gainsight se vieron afectados?

 

La compañía publicó una lista de productos cuya capacidad para leer y escribir en Salesforce fue suspendida temporalmente:

 

  1. Customer Success (CS)

  2. Community (CC)

  3. Northpass – Customer Education (CE)

  4. Skilljar (SJ)

  5. Staircase (ST)

 

Aunque Gainsight insistió en que Staircase no fue comprometido, Salesforce eliminó su conexión por precaución mientras la investigación continúa.

 

Indicadores de compromiso: las primeras pistas

 

Tanto Salesforce como Gainsight publicaron IoCs (Indicators of Compromise) relacionados con la brecha. Uno de los más destacados fue el user-agent:

“Salesforce-Multi-Org-Fetcher/1.0”

Este agente también se había identificado en actividad previa asociada a Salesloft Drift, lo que sugiere herramientas o tácticas compartidas entre grupos criminales.

Según Salesforce, los primeros intentos de reconocimiento ocurrieron desde la IP 3.239.45[.]43 el 23 de octubre de 2025. Después hubo nuevas olas de acceso no autorizado a partir del 8 de noviembre.

En términos prácticos: el ataque llevaba semanas en marcha antes de ser detectado y contenido.

 

¿Qué debes hacer como cliente para proteger tu entorno?

 

Gainsight recomendó una serie de acciones preventivas que, si usas integraciones con Salesforce u otros servicios en la nube, deberías aplicar cuanto antes:

 

  1. Rotar todas las llaves de acceso

Incluye:

 

  1. Llaves de S3

  2. Credenciales de BigQuery

  3. Tokens de Zuora

  4. Accesos a Snowflake

  5. Cualquier conector utilizado con Gainsight

 

  1. Conectarte directamente a Gainsight NXT

Evita usarlo a través de Salesforce hasta que la integración sea completamente restaurada.

 

  1. Restablecer contraseñas de usuarios NXT

Especialmente aquellos que no utilizan SSO.

 

  1. Reautorizar integraciones y aplicaciones conectadas

Cualquier herramienta que dependa de credenciales o tokens debe obtener autorizaciones nuevas.

Gainsight enfatizó que estas medidas son preventivas y tienen como objetivo blindar los entornos de los clientes durante la investigación.

 

Títulos similares: Trinity of Chaos: Una Alianza Cibercriminal

 

El contexto más grande: un ecosistema criminal que evoluciona

 

El incidente ocurre mientras aparece una nueva plataforma de ransomware-as-a-service (RaaS) conocida como ShinySp1d3r (Sh1nySp1d3r), desarrollada por una alianza entre:

 

  1. Scattered Spider

  2. LAPSUS$

  3. ShinyHunters (SLSH)

 

De acuerdo con ZeroFox, esta alianza ha estado detrás de más de 51 ciberataques en un año.

Pero lo que preocupa no es solo la cantidad, sino la sofisticación.

ShinySp1d3r introduce técnicas nunca vistas en otros RaaS:

 

  1. Ganchos al proceso EtwEventWrite para impedir registros en el Event Viewer de Windows

  2. Terminación automática de procesos que bloquean archivos para evitar encriptarlos

  3. Sobrescritura del espacio libre del disco con datos aleatorios para impedir recuperación

  4. Búsqueda y cifrado de carpetas compartidas en red

  5. Propagación lateral mediante SCM, WMI y GPO

 

Una combinación peligrosa, que demuestra que el crimen organizado ya opera con capacidades técnicas propias de equipos avanzados.

 

¿Quién está detrás del ransomware? El factor humano que nadie esperaba

 

El periodista Brian Krebs reveló que el desarrollador responsable del ransomware es un miembro central de SLSH conocido como “Rey” (@ReyXBF). Es uno de los administradores del canal de Telegram del grupo y, según la investigación, anteriormente administró BreachForums y el sitio de filtraciones del ransomware HellCat.

Su identidad real: Saif Al-Din Khader.

Khader incluso afirmó que ShinySp1d3r es una versión modificada de HellCat creada con ayuda de herramientas de inteligencia artificial.

Lo más sorprendente: asegura que coopera con las autoridades desde junio de 2025, lo que abre la posibilidad de operaciones encubiertas o acuerdos judiciales.

 

Lo que esto significa para ti: la amenaza ya no está solo en tus sistemas, sino en tus proveedores

 

El caso Gainsight-Salesforce demuestra una tendencia que sigue creciendo:

Los atacantes ya no van tras ti directamente, sino tras tus proveedores.

Y si un proveedor cae, la brecha puede expandirse a:

 

  1. tus usuarios

  2. tus datos

  3. tus automatizaciones

  4. tus integraciones clave

 

Por eso, desde TecnetOne insistimos en que la ciberseguridad debe incluir estrategias de:

 

  1. evaluación de riesgo de terceros

  2. control de integraciones

  3. revisión de permisos OAuth

  4. rotación frecuente de llaves y tokens

  5. monitoreo de comportamiento anómalo

 

La cadena es tan fuerte como su eslabón más débil y ese eslabón puede ser un proveedor al que rara vez vigilas.

 
Ver post completo