Ciberataque a Klue: datos robados de cientos de clientes, incluyendo empresas de seguridad

¿Qué ha ocurrido?

El 11 de junio de 2026, Klue, plataforma de inteligencia de mercado utilizada por más de 250.000 empresas, sufrió una brecha de seguridad. Un atacante accedió a través de una credencial legacy comprometida asociada a un servicio de integración, obteniendo tokens OAuth que permitían conectar Klue con plataformas de terceros como Salesforce, Gong, HubSpot, SharePoint y Google Drive. Con esos tokens, el atacante accedió a datos dentro de los entornos conectados de numerosos clientes. Según The Register, Klue no ha especificado cuántos clientes se vieron afectados, pero Huntress confirmó que estaba entre los "cientos de clientes de Klue" impactados.

Klue detectó la intrusión al día siguiente, desconectó todas las integraciones y contrató a CrowdStrike para investigar. El CEO Jason Smith confirmó el incidente en un blog. El grupo responsable se hace llamar Icarus, activo desde el 28 de abril de 2026, y comenzó a publicar víctimas en su sitio de filtración de datos. Icarus exige comunicación a través de Session para evitar la filtración pública, una táctica similar a la de grupos como ShinyHunters, pero con un enfoque en la extorsión directa.

¿Por qué es importante?

El ataque no solo afectó a empresas comunes, sino a firmas de ciberseguridad como Huntress, Recorded Future, Tanium, Jamf, Gong, HackerOne, Kudelski Security, Snyk, Insurity y Sprout Social. Esto demuestra que incluso los guardianes de la seguridad pueden ser víctimas de ataques a la cadena de suministro. Huntress, que fue de las primeras en alertar, confirmó que los datos robados incluían contactos comerciales, cotizaciones y mensajes de ventas, pero no información altamente sensible como contraseñas o datos de ingeniería. En un comunicado, Huntress destacó su compromiso con la transparencia radical: "Los datos copiados de nuestra cuenta de Salesforce incluyen contactos comerciales, cotizaciones de precios y otros datos relacionados con ventas y mensajería. No hay datos de amenazas, contraseñas, información de tarjetas de pago ni datos de ingeniería".

El incidente se asemeja a las campañas de abuso de OAuth de terceros contra Salesforce ocurridas en 2025 y 2026, pero esta vez el actor es Icarus, no ShinyHunters. La brecha subraya el riesgo de las credenciales legacy y la necesidad de rotar tokens OAuth periódicamente. A diferencia de ataques anteriores, este se originó por una credencial legacy asociada a un servicio de integración, no por un fallo en el producto principal de Klue. Esto refleja una tendencia creciente: los atacantes apuntan a integraciones de terceros como vector de entrada, ya que a menudo tienen menos supervisión de seguridad.

Consecuencias y lecciones

Klue ha desconectado todas sus integraciones y está colaborando con CrowdStrike. Mandiant recomienda auditar sistemas y monitorear logs, así como rotar credenciales. Las empresas afectadas deben revisar si el ataque tuvo un impacto mayor, aunque hasta ahora no se ha reportado compromiso de productos o infraestructura propia. Sin embargo, la filtración de datos de CRM puede tener consecuencias comerciales significativas, como la exposición de estrategias de ventas, listas de clientes potenciales y acuerdos en curso. Para empresas de ciberseguridad, esto también puede dañar la confianza de sus propios clientes.

Para los lectores, la lección es clara: las integraciones de terceros son vectores de ataque críticos. Es fundamental gestionar credenciales, usar autenticación multifactor y tener planes de respuesta a incidentes. Además, la transparencia de Huntress y otras empresas sienta un precedente positivo. Como señaló Huntress, la divulgación proactiva ayuda a otras organizaciones a protegerse. El ataque también resalta la importancia de rotar tokens OAuth periódicamente y revocar credenciales legacy que ya no son necesarias.

¿Qué deben saber los lectores?

• El ataque se originó por una credencial legacy comprometida asociada a un servicio de integración.
• Los datos robados son principalmente de CRM (contactos, cotizaciones, mensajes de ventas).
• No se han visto afectados productos o sistemas críticos de las víctimas, según las empresas afectadas.
• Icarus exige comunicación vía Session para evitar la filtración pública, y ha publicado algunas víctimas en su sitio.
• Se recomienda auditar integraciones, rotar tokens OAuth y revisar el uso de credenciales legacy.
• Empresas como Huntress, Recorded Future, Tanium, Jamf, Gong, HackerOne, Kudelski Security, Snyk, Insurity y Sprout Social están entre las víctimas confirmadas.

Este incidente es un recordatorio de que la seguridad de la cadena de suministro es tan fuerte como su eslabón más débil. Las empresas deben evaluar no solo la seguridad de sus propios sistemas, sino también la de los proveedores con los que se integran. La rotación periódica de tokens y la eliminación de credenciales obsoletas son medidas simples pero efectivas. Además, la respuesta coordinada de Klue y CrowdStrike, junto con la transparencia de las víctimas, puede servir como modelo para futuros incidentes.