Usted está aquí:
API (Activar configuración de OAuth): Activar rotación de token de actualización
Este control invalida y sustituye cada token de actualización por uno nuevo cada vez que se utiliza para obtener un nuevo token de acceso.
Nombre de control
Aplicaciones conectadas: API (Activar configuración de OAuth): Activar rotación de token de actualización
Configuración recomendada
Active Rotación de token de actualización.
Descripción general de control
Este control invalida y sustituye cada token de actualización por uno nuevo cada vez que se utiliza para obtener un nuevo token de acceso.
Riesgo de seguridad si no está configurado
Sin rotación, un token de actualización es “estático” y duradero, lo que significa que si alguna vez es robado, puede utilizarse indefinidamente para generar nuevas sesiones sin que el atacante necesite la contraseña o MFA del usuario.
Escenarios de amenazas
Un atacante exfiltra un token de actualización desde el almacenamiento de dispositivo local de un usuario o un archivo de registro comprometido y lo utiliza para mantener un acceso persistente y silencioso a la organización de Salesforce mucho después de que el usuario original haya cerrado sesión.
Intervalo de puntuación de CVSS estimado
Crítico (9,0 a 10,0).
Consideraciones sobre el impacto del riesgo
La falta de rotación permite una "persistencia de sesión infinita", permitiendo a un adversario permanecer en el entorno sin ser detectado durante meses y exfiltrar datos sistemáticamente.
Riesgo más alto cuando
El riesgo es significativamente mayor para clientes públicos (aplicaciones móviles y de una sola página) que almacenan tokens en entornos de navegador o dispositivo menos seguros donde son más susceptibles a robo por software malicioso.
Bajo riesgo cuando
Cuando Rotación de token de actualización se empareja con PKCE (Clave de prueba para intercambio de códigos) y tokens de acceso de corta duración, asegurándose de que cualquier token robado es efectivamente de "un solo uso" y el atacante no puede probar matemáticamente que es el solicitante original para obtener uno nuevo.
Consideraciones comerciales y de integración
La activación de la rotación requiere que la aplicación cliente sea capaz de actualizar su token de actualización almacenado después de cada llamada, ya que si no guarda el nuevo token, la aplicación se "bloqueará" durante su siguiente intento de sincronización.
Remediación recomendada
Vaya a la configuración de OAuth de la aplicación conectada y seleccione la casilla de verificación para "Activar rotación de tokens de actualización".
Directrices de revisión del estado de seguridad
Security Health Review identifica la rotación de tokens de actualización como un mecanismo crítico de "Zero Trust" que reduce drásticamente el "radio de explosión" de una credencial robada al convertir cada token en un activo de un solo uso.
