Las plataformas CX procesan miles de millones de interacciones no estructuradas por año: formularios de encuestas, sitios de reseñas, redes sociales, transcripciones de centros de llamadas, todo lo cual fluye hacia motores de inteligencia artificial que impulsan flujos de trabajo automatizados relacionados con la nómina, el CRM y los sistemas de pago. Ninguna herramienta en la pila de un líder de centro de operaciones de seguridad inspecciona lo que está ingiriendo el motor de IA de una plataforma CX, y los atacantes lo han descubierto. Envenenan los datos que los alimentan y la IA hace el daño por ellos.
La filtración de Salesloft/Drift en agosto de 2025 demostró precisamente eso. Atacantes Entorno Salesloft GitHub comprometidorobó tokens OAuth del chatbot Drift y accedió a entornos de Salesforce en más de 700 organizaciones, incluidas Cloudflare, Palo Alto Networks y Zscaler. Entonces datos robados digitalizados para claves de AWS, tokens Snowflake y contraseñas de texto sin formato. Y no se implementó ningún malware.
Esta brecha es mayor de lo que la mayoría de los líderes de seguridad creen: el 98% de las organizaciones tienen un programa de prevención de pérdida de datos (DLP), pero sólo el 6% tiene recursos dedicadossegún el informe Voice of the CISO 2025 de Proofpoint, que encuestó a 1.600 CISO en 16 países. Y el 81% de las invasiones interactivas ahora use acceso legítimo en lugar de malware, según el Informe de búsqueda de amenazas 2025 de CrowdStrike. Las intrusiones en la nube aumentaron un 136% en el primer semestre de 2025.
“La mayoría de los equipos de seguridad todavía clasifican las plataformas de gestión de experiencias como ‘herramientas de investigación’, que tienen el mismo nivel de riesgo que una aplicación de gestión de proyectos”, dijo a VentureBeat en una entrevista reciente Assaf Keren, director de seguridad de Qualtrics y ex CISO de PayPal. “Se trata de una categorización errónea masiva. Estas plataformas ahora se conectan con HRIS, CRM y mecanismos de compensación”. Procesos solos de Qualtrics 3.500 millones de interacciones al añouna cifra que, según la compañía, se ha duplicado desde 2023. Organizaciones No puedo darme el lujo de saltarme pasos sobre la integridad de la entrada una vez que la IA ingresa al flujo de trabajo.
VentureBeat pasó varias semanas entrevistando a líderes de seguridad que trabajan para llenar este vacío. En cada conversación surgieron seis fallos de control.
Seis puntos ciegos entre la pila de seguridad y el motor de IA
1. DLP no puede ver datos de opiniones no estructurados que salen a través de llamadas API estándar
La mayoría de las políticas de DLP clasifican la información de identificación personal (PII) estructurada: nombres, correos electrónicos y detalles de pago. Las respuestas de CX en texto abierto contienen quejas salariales, divulgaciones de salud y críticas ejecutivas. Ninguno coincide con los estándares estándar de PII. Cuando una herramienta de inteligencia artificial de terceros extrae estos datos, la exportación parece una llamada API de rutina. DLP nunca se activa.
2. Los tokens de Zombie API de las campañas completadas todavía están activos
Un ejemplo:MMarketing ejecutó una campaña de CX hace seis meses y la campaña finalizó. Pero los tokens OAuth que conectan la plataforma CX con HRIS, CRM y sistemas de pago nunca han sido revocados. Esto significa que cada uno es un camino de movimiento lateral abierto.
Patrick Opet, CISO de JPMorgan Chase, señaló este riesgo en su Carta abierta de abril de 2025advirtiendo que los modelos de integración SaaS crean “confianza explícita de un solo factor entre sistemas” a través de tokens “inadecuadamente asegurados… vulnerables al robo y la reutilización”.
3. Los canales de entrada públicos no tienen mitigación de bots antes de que los datos lleguen al motor de IA.
Un firewall de aplicaciones web inspecciona las cargas útiles HTTP de una aplicación web, pero ninguna parte de esta cobertura se extiende a una revisión de Trustpilot, una calificación de Google Maps o una respuesta de búsqueda de texto abierto que una plataforma CX ingiere como entrada legítima. El sentimiento fraudulento que inunda estos canales es invisible para los controles perimetrales. VentureBeat preguntó a los líderes y proveedores de seguridad si alguien cubre la integridad del canal de entrada para las fuentes de datos públicos que alimentan los motores CX AI; Resulta que la categoría aún no existe.
4. El movimiento lateral desde una plataforma CX comprometida se ejecuta a través de llamadas API aprobadas.
“Los adversarios no están pirateando, están iniciando sesión”, dijo a VentureBeat Daniel Bernard, director comercial de CrowdStrike, en una entrevista exclusiva. “Es un inicio de sesión válido. Entonces, desde la perspectiva del ISV externo, usted tiene una página de inicio de sesión y autenticación de dos factores. ¿Qué más quiere de nosotros?”
La amenaza se extiende por igual a las identidades humanas y no humanas. Bernard describió lo siguiente: “De repente, se exportan terabytes de datos. Es un uso no estándar. Está yendo a lugares a los que este usuario no iba antes”. UNO información de seguridad y gestión de eventos (SIEM) ve que la autenticación se realiza correctamente. Él no ve este cambio de comportamiento. Sin lo que Bernard llamó “gestión de postura de software” que cubre las plataformas CX, el movimiento lateral pasa por conexiones que el equipo de seguridad ya ha aprobado.
5. Los usuarios no técnicos tienen privilegios de administrador que nadie revisa
Los equipos de marketing, recursos humanos y éxito del cliente configuran integraciones CX porque necesitan velocidad, pero es posible que el equipo SOC nunca las vea. La seguridad tiene que ser un facilitador, dice Keren, o los equipos pueden evitarlo. Cualquier organización que no pueda producir un inventario actual de cada integración de la plataforma CX y las credenciales de administrador detrás de ellas tendrá exposición al administrador en la sombra.
6. Los comentarios de texto abiertos llegan a la base de datos antes de que se enmascare la PII
Las encuestas de empleados capturan quejas sobre gerentes por nombre, quejas salariales y divulgaciones de salud. Los comentarios de los clientes están igualmente expuestos: detalles de la cuenta, historial de compras, disputas sobre el servicio. Nada de esto llega a un clasificador de PII estructurado porque llega como texto libre. Si una infracción lo expone, los atacantes obtienen información personal desenmascarada a lo largo de la ruta de movimiento lateral.
Nadie es dueño de esta brecha
Estas seis fallas comparten una causa fundamental: la gestión de la postura de seguridad de SaaS ha madurado para Salesforce, ServiceNow y otras plataformas empresariales. Las plataformas CX nunca han recibido el mismo trato. Nadie monitorea la actividad, los permisos o la configuración de los usuarios dentro de una plataforma de gestión de experiencias ni la aplicación de políticas dentro de los flujos de trabajo de IA que procesan datos que no existen. Cuando las entradas activadas por bots o las exportaciones de datos anómalas llegan a la capa de aplicación CX, nada las detecta.
Los equipos de seguridad están respondiendo con lo que tienen. Algunos están ampliando las herramientas SSPM para cubrir las configuraciones y permisos de la plataforma CX. Las puertas de enlace de seguridad API ofrecen otro camino, inspeccionando los alcances de los tokens y los flujos de datos entre las plataformas CX y los sistemas posteriores. Los equipos centrados en la identidad están aplicando controles de acceso estilo CASB a las cuentas de administrador de CX.
Ninguno de estos enfoques ofrece lo que realmente exige la seguridad de la capa CX: monitoreo continuo de quién accede a los datos de la experiencia, visibilidad en tiempo real de las configuraciones incorrectas antes de que se conviertan en rutas de movimiento lateral y protección automatizada que aplica políticas sin esperar un ciclo de revisión trimestral.
La primera integración diseñada específicamente para esta brecha conecta la gestión de postura directamente con la capa CX, brindando a los equipos de seguridad la misma cobertura sobre las actividades del programa, las configuraciones y el acceso a los datos que ya esperan para Salesforce o ServiceNow. Falcon Shield de CrowdStrike y la plataforma Qualtrics XM son la combinación detrás de esto. Los líderes de seguridad entrevistados por VentureBeat dijeron que este es el control que han estado construyendo a mano y que les ha quitado el sueño.
Los equipos de seguridad del radio de explosión no están midiendo
La mayoría de las organizaciones han mapeado el radio técnico de la explosión. “Pero no el radio de alcance del acuerdo”, dijo Keren. Cuando un motor de IA activa un ajuste de compensación basado en datos envenenados, el daño no es un incidente de seguridad. Es una mala decisión empresarial ejecutada a la velocidad de una máquina. Esta brecha se encuentra entre el CISO, el CIO y el propietario de la unidad de negocio. Hoy nadie lo posee.
“Cuando utilizamos datos para tomar decisiones comerciales, esos datos deben ser correctos”, dijo Keren.
Ejecute la auditoría y comience con tokens zombies. Aquí es donde comienzan las violaciones a gran escala. Comience con una ventana de validación de 30 días. La IA no va a esperar.
