Reducción de los riesgos para la privacidad de las aplicaciones de terceros
Estrategias para prevenir fugas y mitigar daños
Las aplicaciones de terceros siempre han presentado cierto nivel de riesgo para la seguridad y la privacidad. Los atacantes reconocen que las vulnerabilidades del software proporcionan acceso a los datos confidenciales. Sin embargo, el uso cada vez mayor y la fuerte dependencia de las soluciones SaaS y el aumento de las integraciones de las aplicaciones han agravado el problema. Los atacantes tienen ahora más vulnerabilidades que explotar.
La fuga de Salesloft Drift en agosto de 2025, que afectó a cientos de organizaciones, demuestra los graves riesgos para la privacidad que plantean las aplicaciones SaaS de terceros y sus integraciones.
En ese ataque concreto, los ciberdelincuentes pusieron en riesgo la plataforma de participación de ventas Salesloft Drift. Los atacantes robaron tokens OAuth, lo que les permitió acceder a las instancias integradas de Salesforce utilizadas por las organizaciones. Las organizaciones cuyas instancias de Salesforce se vieron afectadas por la fuga bloquearon rápidamente el acceso de los atacantes, pero no antes de que estos extrajeran datos de las instancias de Salesforce de esas organizaciones, incluidos los campos de texto de los casos de atención al cliente. Aunque tenemos información que indica que cientos de organizaciones se vieron afectadas, solo unas pocas han hecho público el impacto.
En ese incidente de Salesloft Drift, los atacantes extrajeron datos de clientes, lo que ya supuso un daño en sí mismo. Pero los atacantes también podían utilizar esa información para causar más estragos. Los ciberdelincuentes suelen utilizar la información robada como parte de sus planes de ingeniería social. Además, los atacantes de Salesloft Drift robaron credenciales digitales y tokens que les permitían acceder a otras aplicaciones integradas.
Estas vulnerabilidades ponen en mayor riesgo una gran variedad de datos confidenciales. Si bien la filtración de Salesloft Drift provocó el robo de información de contactos y soporte de clientes, las filtraciones podrían exponer datos aún más confidenciales, como secretos comerciales, datos financieros corporativos o información sanitaria. La fuga de 2025 del proveedor externo de atención al cliente de Discord, por ejemplo, provocó el robo de nombres de clientes, direcciones de correo electrónico, números de tarjetas de crédito, imágenes subidas de documentos de identidad oficiales y otros datos de Discord.
Más allá de proporcionar una respuesta inmediata a las fugas de datos de terceros, las organizaciones también deben abordar las repercusiones a más largo plazo. Pueden enfrentarse a sanciones normativas, demandas judiciales y la pérdida de la confianza de los clientes, lo que puede tener un impacto directo en los ingresos.
Como líderes en privacidad, ¿cómo podemos abordar mejor los riesgos que plantean las aplicaciones de terceros y las integraciones de software? La implementación de algunas prácticas recomendadas te permite reducir las vulnerabilidades y acelerar las resoluciones en caso de que se produzcan estos ataques.
Riesgos de las aplicaciones de terceros
Los responsables de la privacidad conocen muy bien las posibles consecuencias de las fugas de datos. Tu organización podría ser objeto de investigaciones reglamentarias y, potencialmente, de sanciones por parte de la Comisión Federal de Comercio (FTC), el Departamento de Salud y Servicios Humanos (por infracciones de la HIPAA), los fiscales generales de los estados de los Estados Unidos o las autoridades de protección de datos (DPA) de cualquier país del mundo.
Y lo que es igualmente importante, las fugas de datos pueden afectar a la reputación de tu organización, a la confianza de tus clientes y a tus resultados. Cuando los datos están expuestos, los clientes suelen buscar soluciones a través de cláusulas de incumplimiento de contrato o créditos de servicio. En el peor de los casos, pierden la confianza y se van a otra parte.
Los ataques a aplicaciones e integraciones de terceros aumentan este riesgo. Una cosa es implementar una serie de medidas de protección para tus propios sistemas, pero garantizar que tus proveedores de servicios ofrezcan protecciones equivalentes es más difícil. Esta es, en parte, la razón por la que normativas como la Ley de Resiliencia Operativa Digital (DORA) de la Unión Europea exigen a las entidades sujetas a su aplicación que lleven a cabo una auditoría exhaustiva con respecto a sus proveedores de servicios y a las cadenas de suministro de estos. Varias medidas adoptadas por la DPA de la Unión Europea y la FTC de Estados Unidos también han considerado que las entidades eran responsables incluso cuando la fuga se produjo en el sistema de un proveedor de servicios.
Reducción de los riesgos de privacidad de terceros
Hay cuatro prácticas recomendadas que contribuyen en gran medida a reducir los riesgos de privacidad de terceros y a mitigar los daños causados por las fugas. Estas prácticas no son algo puntual, sino esfuerzos continuos para evaluar a los proveedores, ajustar los planes, mantenerse al día con los requisitos de notificación y adaptarse a los cambios.
1. No confíes siempre en todos los proveedores de SaaS.
Trabaja con tus compañeros del departamento de informática y seguridad para llevar a cabo una exhaustiva auditoría de los proveedores antes de adoptar nuevas aplicaciones SaaS. Asegúrate de que los proveedores hayan tomado medidas para obtener certificaciones, proteger la seguridad de los datos y mantener un nivel adecuado de limpieza de los datos. Y lo que es más importante, asegúrate de que tu equipo entiende cómo configurar las aplicaciones correctamente.
Certificaciones: los proveedores deben tener todas las certificaciones relevantes para tu sector, como SOC 2 e ISO 27701, además de PCI DSS 4.0, HIPAA o FedRAMP.
Uso y seguridad de los datos: entérate de cómo los proveedores utilizarán y protegerán tus datos. Puedes decidir no trabajar con determinados proveedores si no pueden cumplir tus requisitos. Por ejemplo, podrías exigir garantías de que no utilizarán tus datos para entrenar un modelo de IA que estén desarrollando. También puedes insistir en que tus datos se almacenen por separado y se encripten de forma distinta a los datos de otras organizaciones.
Limpieza de los datos: asegúrate de que los proveedores recopilan solo la cantidad mínima de datos confidenciales necesarios para lograr su propósito. La minificación de datos es un principio básico de las normativas de privacidad de datos, como el Reglamento general de protección de datos (RGPD). Los proveedores también deben comprometerse a conservar solo los datos que sean necesarios, durante el tiempo necesario, para cumplir con la normativa. La limitación de la recopilación y retención de datos minimiza la exposición en caso de fuga. Por ejemplo, algunos de los datos exfiltrados en la fuga de Discord, como las imágenes del carné de conducir, deberían haber sido reemplazados por un token y luego eliminados.
Configuraciones: asegúrate de que tu equipo informático entiende cómo se configuran las nuevas aplicaciones SaaS. En particular, examina cómo se integran con otras aplicaciones. Y evalúa la granularidad de los permisos. Los atacantes no deberían tener fácil acceso a varios sistemas si ponen en riesgo una sola cuenta o aplicación.
2. Trabaja con los equipos de seguridad y otros equipos para desarrollar un plan de respuesta.
Mientras los ciberdelincuentes detecten vulnerabilidades en las aplicaciones SaaS, seguirán atacando. Es importante contar con un equipo y un plan para responder rápidamente.
Equipo de crisis: como mencioné antes, los equipos de privacidad y seguridad deben trabajar juntos como parte de un programa de seguridad que priorice la privacidad. Ese programa debería incluir un equipo de crisis compuesto no solo por personal de informática, ciberseguridad, operaciones y privacidad, sino también por personal jurídico y de comunicaciones. Estas colaboraciones tendrían que estar establecidas antes de que se produzca una crisis, para que no tengas que apresurarte a diseñar funciones y asignar responsabilidades.
Manual de respuesta: es fundamental contar con un manual de respuesta documentado para que todos los miembros del equipo sepan exactamente qué hacer cuando se produce un evento. Ese manual debe incluir:
Investigación: determina "quién, qué, dónde y cuándo" se produjo la fuga. Estos procesos deben incluir: la verificación de que realmente se ha producido un incidente; la documentación de la cronología del incidente; la identificación del punto de entrada (p. ej., si ha sido causado por una vulnerabilidad de terceros) y la identificación de los sistemas y datos afectados. El robo de secretos comerciales requiere una respuesta diferente a la pérdida de información personal de los clientes. Del mismo modo, una filtración de datos a gran escala exige una respuesta diferente a la de una filtración a pequeña escala.
Contención y recuperación: define los procedimientos para aislar los sistemas afectados, revocar las credenciales expuestas y evitar una mayor pérdida de datos. A continuación, los equipos de seguridad pueden abordar la causa raíz de la fuga y restaurar los datos, si es necesario. Prueba estas fases del plan con antelación. Si se produce un incidente, deberías ser capaz de ejecutar la estrategia que has diseñado.
3. Infórmate sobre tus obligaciones de notificación.
En caso de que se produzca una fuga que exponga los datos de clientes, deberás ponerte en contacto con los clientes de acuerdo con las numerosas leyes que se aplican a tu empresa. Dependiendo de la ubicación de los clientes, es posible que tengas que cumplir con diversas leyes estatales de los Estados Unidos, cada una con diferentes requisitos de notificación. Si tienes clientes en la Unión Europea y controlas los datos personales, el RGPD exige que notifiques a esos clientes cuando exista un alto riesgo de que su información dé lugar a robo de identidad, pérdidas económicas, discriminación u otra forma de perjuicio.
Las empresas públicas también deben notificar a la SEC si se ha producido una fuga importante. Si eres una empresa B2B, podrías tener requisitos de notificación específicos integrados en los contratos con los clientes. Por ejemplo, podrías tener la obligación de notificar una fuga en un plazo de 24 a 72 horas.
Cuando las fugas se deban a aplicaciones de terceros, deberás comprender las obligaciones de notificación de cada parte. Esas obligaciones dependen de qué organización controle y procese los datos.
Cumplir con todos estos requisitos de notificación es una tarea compleja. Para reducir esa complejidad, podrías establecer una política que siga las reglas más estrictas para todos los clientes, por ejemplo, notificando a todos en un plazo de 24 horas, incluso si solo existe una posibilidad remota de que puedan verse afectados a causa de la fuga. Como alternativa, puedes intentar lidiar con las complejidades de las notificaciones y gestionarlas de forma diferente en cada jurisdicción. Ambos enfoques conllevan ventajas e inconvenientes, y cada uno podría tener un impacto en la confianza de los clientes.
¿Qué pasa si se notifica a un cliente que es poco probable que se vea afectado por una fuga? ¿Ese cliente confiará menos en ti, o más? ¿Qué pasa si decides evitar notificar a un cliente en particular sobre una fuga porque no existe ningún requisito legal que te obligue a hacerlo?
Además de pensar en los requisitos legales, ponte en el lugar de tus clientes. Piensa en lo que querrían saber y cuándo, y cómo tu decisión de notificación podría afectar a tu relación con esos clientes.
4. Adáptate.
Las aplicaciones SaaS, las integraciones de software, las tácticas criminales y las normativas de privacidad están en constante evolución. Incluso las organizaciones que planifican con detalle deben estar preparadas para lo inesperado. Lo importante es tu capacidad para responder rápidamente, aprender de los incidentes y adaptar tus estrategias en consecuencia.
Mayor seguridad de las aplicaciones SaaS
Los atacantes siguen teniendo como objetivo las aplicaciones SaaS como una forma de acceder a datos confidenciales de clientes y empresas. Aunque puede ser imposible detener por completo los ataques, puedes minimizar la probabilidad de fugas y reducir el daño a tu empresa, socios y clientes.
Cloudflare ayuda a proteger las aplicaciones SaaS y sus integraciones. Tras el incidente de Salesloft Drift, anunciamos que estamos trabajando en soluciones que consoliden las conexiones SaaS a través de un único proxy para mejorar la detección y la respuesta a posibles riesgos.
Como proveedores de servicios en la nube, trabajamos continuamente para mejorar la seguridad de nuestros servicios, supervisar a nuestros proveedores de servicios externos y mantener la confianza de nuestros clientes. También nos comprometemos a ser transparentes sobre los incidentes, como lo fuimos después de la fuga de datos de Salesloft Drift, y siempre estamos aprendiendo y adaptándonos en respuesta. Al mismo tiempo, estamos comprometidos con una amplia variedad de iniciativas — como la publicación de informes de transparencia, la publicación de warrant canaries, el desarrollo de tecnologías que mejoran la privacidad y la creación de normas — que tienen como objetivo ayudar a mejorar Internet para mejorar la privacidad y la seguridad.
Nuestra conectividad cloud te ayuda a abordar los riesgos de seguridad y a cumplir con una amplia variedad de normativas de privacidad, al mismo tiempo que controlas la complejidad. Puedes establecer una seguridad sólida y coherente en todas tus aplicaciones y entornos, e implementar los controles necesarios para cumplir con toda la variedad de leyes y normas de privacidad, todo ello desde una única plataforma unificada.
Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.
Más información sobre este tema
Descubre por qué una plataforma unificada es fundamental para agilizar la conformidad con un amplio abanico de normativas en el documento técnico Cómo una conectividad cloud optimiza la conformidad en materia de seguridad.
Autor
Emily Hancock — @emilyhancock
Directora de privacidad, Cloudflare
CONCLUSIONES CLAVE
Después de leer este artículo podrás entender:
Cómo las aplicaciones SaaS de terceros plantean nuevos riesgos para la privacidad
4 prácticas recomendadas para reducir los riesgos de terceros
Por qué los equipos de privacidad y seguridad deben colaborar en la reducción de riesgos y la respuesta a incidentes