Una falla de ForcedLeak en el agente de inteligencia artificial de Salesforce Agentforce expuso datos de CRM

Recientemente se descubrió una vulnerabilidad denominada ForcedLeak en Salesforce Agentforce, un sistema basado en IA diseñado para gestionar tareas empresariales complejas en entornos CRM. Noma Security identificó la falla crítica, inicialmente clasificada como CVSS 9.1 y posteriormente actualizada a 9.4, que permite a atacantes remotos robar datos privados de CRM. La empresa compartió su investigación con Hackread.com.

El problema radica en el funcionamiento autónomo de los agentes de IA . A diferencia de los chatbots simples, que son sistemas de respuesta inmediata, estos agentes pueden razonar, planificar y ejecutar tareas empresariales complejas, lo que los convierte en un objetivo considerablemente mayor. El problema principal fue un ataque de inyección indirecta de mensajes , que ocurre cuando se introduce una instrucción errónea en secreto dentro de datos que el sistema de IA procesa posteriormente.

En el caso de Agentforce, los atacantes utilizaron la función Web-to-Lead, comúnmente habilitada, que permite a los visitantes del sitio web enviar información que se envía directamente al CRM. Al introducir código malicioso en un campo de entrada grande, como el cuadro de descripción, el atacante tendió una trampa. Cuando un empleado le hacía posteriormente al agente de IA una pregunta normal sobre los datos del cliente potencial, este interpretaba erróneamente la instrucción oculta como parte de su trabajo.

Según la entrada del blog de Noma Security, sus investigadores descubrieron que la IA no podía distinguir entre datos legítimos cargados en su contexto e instrucciones maliciosas. Para demostrar el riesgo, realizaron una prueba de concepto (PoC) utilizando código malicioso para obligar a la IA a obtener datos confidenciales de CRM, como direcciones de correo electrónico. El código engañó a la IA para que introdujera los datos en la dirección web de una imagen. Cuando el sistema vio la imagen, los datos privados se transmitieron al servidor de los investigadores, confirmando el robo.

Los datos en riesgo incluían información confidencial, como datos de contacto de clientes, datos del flujo de ventas que revelan la estrategia empresarial, comunicaciones internas y registros históricos. La vulnerabilidad afectó a cualquier organización que utilizara Salesforce Agentforce con la función Web-to-Lead habilitada, especialmente a las de ventas y marketing.

El ataque también implicó explotar una parte obsoleta de las reglas de seguridad del sistema ( Política de Seguridad de Contenido o CSP). Los investigadores descubrieron que un dominio (my-salesforce-cms.com), que aún se consideraba confiable, había expirado y estaba disponible para su compra por tan solo 5 $. Un atacante podría usar este dominio expirado, pero confiable, para enviar secretamente datos robados fuera del sistema.

Tras ser informado del problema el 28 de julio de 2025, Salesforce investigó rápidamente. Para el 8 de septiembre de 2025, la empresa había implementado correcciones , incluyendo la implementación de "URL de confianza" para Agentforce y su inteligencia artificial Einstein , para evitar que los datos se enviaran a direcciones web no confiables y la reprotección del dominio caducado.

La empresa recomendó a los usuarios que aplicaran inmediatamente las URL de confianza para Agentforce y Einstein AI y que auditaran todos los datos de clientes potenciales existentes para detectar envíos inusuales. La vulnerabilidad se hizo pública el 25 de septiembre de 2025.

La vulnerabilidad ForcedLeak es especialmente importante de analizar a la luz de las masivas filtraciones de datos vinculadas a Salesforce que han surgido este año. Salesforce es fundamental para las operaciones comerciales de miles de organizaciones, ya que almacena registros confidenciales de clientes, información financiera y estrategias de ventas.

Una vulnerabilidad en su sistema Agentforce impulsado por IA significa que los atacantes podrían explotar una plataforma confiable no solo para robar registros aislados, sino para automatizar la extracción de datos a gran escala a través de procesos comerciales cotidianos.

Dado que los datos de CRM suelen ser la joya de la corona para las empresas, la combinación de vulnerabilidades de IA con entornos de Salesforce que ya son de alto valor aumenta enormemente el riesgo, lo que hace que sea fundamental que las organizaciones reevalúen su exposición y controles de seguridad.

"Es aconsejable proteger los sistemas que rodean a los agentes de IA en uso, que incluyen API, formularios y middleware, para que la inyección inmediata sea más difícil de explotar y menos dañina si tiene éxito", dijo Chrissa Constantine , arquitecta sénior de soluciones de ciberseguridad en Black Duck.

Subrayó que la verdadera prevención consiste en mantener la configuración y establecer medidas de seguridad en torno al diseño del agente, la cadena de suministro de software, las aplicaciones web y las pruebas de API.