Envío de registros, alertas y datos de telemetría a través de un diodo de datos

Descubre cómo
Utilizamos inteligencia artificial para traducir el sitio web y, aunque nos esforzamos por garantizar la precisión, es posible que las traducciones no sean siempre 100 % exactas. Agradecemos tu comprensión.

Seguridad en la carga de archivos de Salesforce: cómo detener el malware y los enlaces maliciosos antes de que pongan en peligro tu CRM

Por OPSWAT
Última actualización:
Comparte esta publicación

Puede que Salesforce sea donde residen los datos de tu empresa, pero eso no garantiza que sea también donde estén a salvo.

Dado que gigantes del sector como Google, Workday, Allianz Life, GAP, Chanel, Coca-Cola, IKEA y otros han confirmado[1] filtraciones relacionadas con Salesforce en 2025, parece que basta con una llamada telefónica o un archivo infectado para penetrar en el entorno de la plataforma.

En muchos de los casos mencionados anteriormente, la subida de archivos, los enlaces incrustados y las integraciones basadas en OAuth fueron los puntos de entrada de las filtraciones.

Los ataques a Salesforce han cambiado.

En lugar de forzar la entrada, los delincuentes se cuelan a través de flujos de trabajo de confianza.  

Esto pone de manifiesto importantes carencias en la forma en que se protegen estos entornos y en cómo deberían defenderse en el futuro.

La crisis de seguridad de Salesforce en 2025: en cifras

El interés de los atacantes por Salesforce aumenta en la misma medida que su uso.

Según un análisis de inteligencia sobre amenazas de 2025, la subida de archivos y el uso indebido de OAuth se revelaron como los principales vectores de ataque detrás de las principales violaciones de seguridad en el ámbito del SaaS, lo que puso de manifiesto un punto ciego crítico en las estrategias de seguridad en la nube.

Explosión del volumen de ataques

  • El índice de detección de amenazas de Salesforce se multiplicó por 20 en el primer trimestre de 2025 en comparación con el cuarto trimestre de 2024
  • Casi mil millones de registros robadosen una serie de ataques coordinados contra servicios SaaS
  • Más de 39 grandes empresas han sido víctimas de un ataque, entre ellas Google, Coca-Cola, Adidas, Allianz, Air France, KLM y M&S

No se trataba de incidentes aislados.

Afectaron a marcas internacionales, sectores regulados y organizaciones con programas de seguridad consolidados.

Repercusiones de la filtración confirmada

  • Google Ads: se han filtrado 2 ,55 millones de registros de clientes potenciales 
  • Coca-Cola Europacific Partners: más de 23 millones de registros de Salesforce filtrados 
  • Allianz Life:1,4 millones de clientes afectados 
  • Minoristas del Reino Unido (M&S, Co-op, Harrods): la manipulación del servicio de asistencia técnica provocó el despliegue de un programa de rescate 
  • Sector de la aviación (Air France, KLM, Hawaiian, WestJet): abordaje sistemático y coordinado 

Todos los incidentes tenían un denominador común: archivos y enlaces maliciosos que se introducían a través de flujos de trabajo de Salesforce de confianza, sin que se sometieran a ningún control ni inspección.

Los archivos como armas: cómo los documentos cotidianos se convirtieron en un vector de ataque

A lo largo de los primeros meses de 2025, varios analistas del sector de la seguridad detectaron una tendencia.

Los atacantes están utilizandoarchivos que parecen legítimos paraeludir las defensas tradicionales y llegar a los usuarios finales dentro de plataformas SaaS como Salesforce.

El guion ha cambiado. 

En lugar de aprovechar las vulnerabilidades del software, los atacantes se centraron enformatos de documentos de confianzaque se transmiten a través de los flujos de trabajo habituales de la empresa: cargas de archivos, registros compartidos e integraciones.  

Este método es más eficaz, ya que los controles de seguridad suelen ser mínimos en el caso de la subida de archivos.

Los tipos de archivo más utilizados en los ataques basados en SaaS

La subida de archivos maliciosos se aprovechó de la confianza de los usuarios, ocultando contenido dañino en archivos de uso cotidiano.[2-5]

Documentos de Microsoft Word (~68 %)

Los archivos de Word siguieron siendo el medio más habitual para propagar actividades maliciosas.  

Los atacantes incluyeron enlaces de phishing o direcciones URL para la descarga de malware externo y los combinaron con mensajes de ingeniería social muy convincentes, como «por favor, revise la factura» o «se adjunta el contrato actualizado».  

Una vez cargados directamente en Salesforce, estos archivos eludieron por completo los controles de seguridad del correo electrónico. 

Archivos de imagen y códigos QR (~27 %)

Tal y como se destaca en los informes sobre amenazas de Microsoft y otras empresas del sector, el phishing basado en códigos QR («quishing») cobró impulso en 2025.

Los códigos QR maliciosos incrustados en archivos de imagen redirigían a los usuarios, principalmente enmobile , a páginas destinadas a robar credenciales, aprovechando la menor visibilidad y el menor control que ofrece mobile .

Documentos PDF (~3 %)

Los archivos PDF suelen presentarse como facturas, formularios de cumplimiento normativo o documentos legales.

Algunos contenían código JavaScript incrustado, mientras que otros redirigían a los usuarios a sitios web externos dedicados al phishing o que alojaban malware.

Otros formatos de archivo (~2 %)

Los atacantes también aprovecharon:

  • Archivos HTML para páginas de phishing basadas en navegador 
  • Archivos ZIP para ocultar cargas útiles secundarias 
  • Archivos de Excel que utilizan técnicas basadas en fórmulas para ejecutar código malicioso 

Por qué funciona

Estos archivos no despertaron sospechas porqueparecían legítimos, se procesaron a través deflujos de trabajo legítimos de Salesforcey contabancon la confianza de los usuarios. 

A medida que las organizaciones reforzaban los perímetros de red y las pasarelas de correo electrónico, los atacantes simplemente optaron por la vía más fácil: los archivos de confianza dentro de plataformas de confianza. 

La crisis de la evolución del malware

A medida que aumenta el intercambio de datos a través de archivos, el malware se ha vuelto más sofisticado y difícil de detectar, y a menudo elude las herramientas de seguridad tradicionales basadas en firmas.

SegúnOPSWAT , la complejidad del malware aumentó un127 % en seis meses, impulsada por el malware polimórfico —que cambia en cada entrega—, los ataques sin archivos —que se ejecutan directamente en la memoria—, las cargas útiles con retardo, las técnicas de evasión de entornos de pruebas y el contenido malicioso cifrado oculto dentro de estructuras de archivos legítimas.

Por qué fracasaron las defensas tradicionales

  • Los motores antivirus independientessolo detectanentre el 50 % y el 70 % de las amenazas, lo que significa queentre el 30 % y el 50 % suelen pasar desapercibidas. 

Esa falta de detección explica por qué:

  • El 67,72 % de los documentos de Word maliciosos burlaron las defensas 
  • El 26,78 % de los ataques mediante códigos QR eludieron los controles de correo electrónico y de los dispositivos finales 
  • Salesforce se convirtió en un canal de distribución ideal una vez que los atacantes dejaron de utilizar por completo el correo electrónico

Los enlaces ocultos en los archivos: tácticas avanzadas de evasión de URL

En algunos ataques modernos, el punto de inyección va más allá del propio archivo.

En estos casos, el verdadero peligro suele estar oculto enlas URL incrustadas en documentos e imágenes.

Los investigadores en materia de seguridad señalan constantemente que los atacantes se centran menos en la distribución de malware y más enredirigir a los usuarios a sitios maliciosos, utilizando enlaces que a primera vista parecen legítimos.

Para cuando el usuario hace clic, los controles de seguridad tradicionales ya han sido eludidos.

Técnicas habituales de ataque basadas en URL observadas en la red

Suplantación de marcas y dominios similares

Los atacantes suelen registrar dominios que se parecen mucho a marcas de confianza, sustituyendo caracteres, añadiendo letras adicionales o haciendo un uso indebido de los subdominios.

Algunos ejemplos son versiones mal escritas de servicios conocidos o direcciones URL que incluyen nombres de marcas de confianza para engañar a los usuarios y hacerles creer que son seguras. 

Dominios de nuevo registro (NRD)

Una gran parte de las campañas de phishing se basan en dominios creados apenas unas semanas, o incluso unos días, antes del ataque. Estos dominios carecen de reputación consolidada, se utilizan durante un breve periodo de tiempo en el transcurso de las campañas y, a menudo, se abandonan antes de que puedan ser incluidos en las listas de bloqueo.

Uso indebido de los servicios de acortamiento de URL

Los enlaces acortados de servicios muy utilizados ocultan el destino final, lo que impide que los usuarios y las herramientas de seguridad básicas puedan ver adónde conduce el enlace. Esta técnica sigue siendo muy utilizada porque elude los filtros sencillos basados en la reputación y las palabras clave.

Uso indebido de plataformas legítimas y redireccionamientos

Los atacantes se esconden cada vez más tras infraestructuras de confianza, como redireccionamientos de motores de búsqueda, servicios en la nube o plataformas de distribución de contenidos. Estas URL parecen inofensivas, superan los controles de confianza iniciales y solo más tarde redirigen a los usuarios a páginas de phishing o que alojan malware.

Dominios de nivel superior (TLD) poco conocidos o de bajo coste

Algunos dominios de nivel superior (TLD) son objeto de un uso indebido desproporcionado en campañas de phishing debido a que su registro es más barato y la aplicación de las normas es menos estricta. Aunque ningún TLD es intrínsecamente malicioso, los atacantes prefieren los dominios que pueden crearse rápidamente y descartarse sin consecuencias.

Por qué sigue funcionando

La evaluación estática de la reputación(que consiste en comprobar si un dominio se ha detectado anteriormente o figura en listas de bloqueo conocidas) resulta inútil cuando los atacantes cambian rápidamente de dominio, hacen un uso indebido de servicios de confianza o retrasan el comportamiento malicioso hasta después de la entrega. 

Las amenazas modernas relacionadas con las URL requieren algo más que comprobaciones superficiales.  

Una defensa eficaz depende delanálisis del contexto, de las señales de comportamiento y de una vigilancia constante.

Es necesario realizar una inspección exhaustiva, especialmente en las plataformas SaaS de confianza, donde los usuarios tienden a hacer clic sin pensárselo dos veces.

Comprender la superficie de ataque completa de Salesforce

Salesforce ofrece muchas formas de cargar, compartir e intercambiar archivos, y los atacantes se han aprovechado de casi todas ellas.

En lugar de centrarse en una única función, se aprovecharon detodo elecosistema de ingesta de archivos, introduciendo contenido malicioso en los flujos de trabajo habituales de la empresa.

Puntos de acceso clave basados en archivos en Salesforce 

Canales de atención al cliente 

Las rutas de envío externas eran un objetivo frecuente, ya que están diseñadas para aceptar archivos de usuarios no fiables. Esto incluye los formularios «Email-to-Case» y «Web-to-Case», Cloud Service Cloud y las subidas a través de los portales de clientes.

Herramientas de colaboración interna 

Los atacantes aprovecharon funciones de colaboración como las publicaciones en Chatter, los archivos compartidos y las integraciones con plataformas de mensajería como Slack y WhatsApp, así como el contenido compartido en Cloud de Experience Cloud .

API, integraciones y automatización 

Los flujos de datos automatizados han introducido riesgos adicionales. La importación de archivos a través de Data Loader, las aplicaciones conectadas y las herramientas de automatización de flujos de trabajo de terceros permiten que contenido malicioso entre en los entornos de Salesforce sin que el usuario intervenga directamente.

Por qué los controles de seguridad tradicionales no son suficientes para Salesforce

A pesar de las cuantiosas inversiones en ciberseguridad, muchas organizaciones siguen estando expuestas a riesgos.

Los estudios del sector, entre ellos elDBIR de Verizon, revelan que casiel 68 % de los incidentes de seguridad se deben a errores humanos, mientras que la mayoría de las herramientas de seguridad tradicionales nunca se diseñaron para proteger plataformas SaaS como Salesforce.

La cuestión fundamental es la visibilidad y el momento oportuno.

Los controles tradicionales se centran en el correo electrónico o los dispositivos finales, dejando prácticamente sin supervisar las subidas de archivos y el contenido almacenado en Salesforce.

  1. Las pasarelas de seguridad de correo electrónico solo controlan los mensajes que llegan a la bandeja de entrada y no analizan los archivos que se suben directamente a Salesforce.
  2. Endpoint protege los dispositivos en lugar de las plataformas en la nube y, por lo general, analiza los archivos solo después de su descarga.
  3. Los CASB (Cloud Security Broker) ofrecen una inspección en profundidad de los archivos limitada y, con frecuencia, no detectan las amenazas incrustadas o cifradas.
  4. La detección basada en firmas resulta ineficaz frente a los ataques de día cero y al malware polimórfico, por lo que no es fiable para los documentos maliciosos actuales.

Dado que los atacantes recurren cada vez más a plataformas SaaS de confianza para distribuir malware y enlaces maliciosos, estas vulnerabilidades dejan a los entornos de Salesforce expuestos a riesgos si no cuentan con medidas de seguridad específicas para la subida de archivos.

Cómo protegeMetaDefender Salesforce la subida de archivos

MetaDefender Salesforcesubsana esta brecha de seguridad al inspeccionar los archivos y los enlacesen el momento en que se introducen en Salesforce. 

Mediante el uso detecnologías avanzadasde seguridad de archivos nativas de la nube, lleva a cabo una inspección exhaustiva directamente en el punto de entrada, antes de que el contenido se almacene, se comparta o sea procesado por los flujos de trabajo de Salesforce. 

Al combinar el análisis de malware en múltiples capas, el análisis de contenidos y la inspección de enlaces,MetaDefender de forma precoz el malware, los enlaces de phishing y las amenazas ocultas.  

Conclusión: la seguridad de Salesforce empieza por los archivos

Los datos de seguridad de 2025[6]dejan una cosa clara: los archivos se han convertido en el principal vector de ataque contra plataformas SaaS como Salesforce. Los atacantes recurren cada vez más a la subida de archivos y al contenido compartido para eludir las defensas tradicionales, mientras que el uso indebido de OAuth permite que las amenazas burlen por completo los controles de autenticación multifactorial (MFA). 

Al mismo tiempo, pocas herramientas de seguridad tradicionales se diseñaron para proteger los flujos de trabajo de Salesforce o inspeccionar los archivos en el momento de su carga.  

Para reducir el riesgo de forma eficaz, la prevención debe llevarse a caboantes de que los archivos o enlaces maliciosos lleguen a los usuarios o a los procesos empresariales. 

MetaDefender Salesforce permite precisamente eso. 

La verdadera pregunta ya no es si los atacantes tienen como objetivo tu entorno de Salesforce, sino si serás capaz de detenerlos antes de que lo consigan. 


Preguntas frecuentes: Seguridad en la carga de archivos en Salesforce

¿Por qué la carga de archivos supone un riesgo de seguridad en Salesforce? 

Los atacantes recurren cada vez más a la carga de archivos y a los enlaces incrustados para eludir las defensas del correo electrónico y del perímetro. En 2025, los estudios de seguridad revelaron que los flujos de trabajo de Salesforce, considerados de confianza, se convirtieron en una de las principales vías de entrada para el malware y el phishing.

¿Puede la seguridad integrada de Salesforce detener los archivos maliciosos?

Salesforce protege la plataforma en sí, pero no inspecciona en profundidad los archivos subidos ni las URL incrustadas. Sin controles adicionales, las amenazas pueden colarse a través de archivos adjuntos, API e integraciones.

¿Qué archivos son los más utilizados en los ataques a Salesforce?

Los atacantes suelen utilizar documentos de Word, archivos de imagen con códigos QR y archivos PDF, ya que parecen legítimos y eluden fácilmente los controles de seguridad tradicionales.

¿Cómo subsanaMetaDefender Salesforce esta carencia?

MetaDefender Salesforce analiza los archivos y los enlaces en el momento en que se introducen en Salesforce, bloqueando el malware y el phishing antes de que el contenido se almacene, se comparta o se utilice en los flujos de trabajo.


[1]Fuente 

[3]Fuente 

[4]Fuente 

[5]Fuente

[6]Fuente

Etiquetas:

¡Mantente al día con OPSWAT!

Regístrate hoy mismo para recibir las últimas novedades de la empresa, historias, información sobre eventos y mucho más.