TL;DR:

• El grupo de extorsión Icarus comprometió una credencial heredada de Klue para robar datos de Salesforce de al menos nueve empresas.
• Entre las afectadas hay firmas de ciberseguridad como HackerOne, Huntress, Jamf, Recorded Future, Tanium y Snyk.
• Los atacantes lanzaron cerca de 1,000 consultas a la API de Salesforce en 15 minutos; Klue llamó a CrowdStrike y apagó sus integraciones.

El grupo de cibercrimen Icarus se atribuyó una brecha en Klue, una plataforma de inteligencia de mercado con sede en Vancouver, que terminó exponiendo datos de Salesforce de varias de sus empresas clientes. Y no de cualquiera: varias venden, precisamente, ciberseguridad. Klue no ha revelado cuántos de sus cientos de clientes resultaron golpeados, pero al menos nueve ya lo confirmaron, entre ellos HackerOne, Huntress, Jamf, Recorded Future, Tanium, Snyk, OneTrust, Sprout Social, Insurity y Gong. ¿Cómo entraron? Con una credencial vieja y olvidada. Desde ahí robaron tokens de acceso y vaciaron bases de datos de clientes en cuestión de horas. Icarus amenazó con publicar todo si Klue no paga un rescate. La empresa ya llamó a CrowdStrike, desconectó sus integraciones y dio aviso a las autoridades.

Una credencial olvidada abrió la puerta

El punto de entrada no fue un exploit sofisticado, sino una llave que nadie había guardado bien. La investigación de Huntress ubicó la primera intrusión el 11 de junio, cuando los atacantes entraron al backend de Klue aprovechando una credencial de prueba antigua que seguía activa sin que nadie la usara. Klue, por su parte, fechó el acceso el 12 de junio, el mismo día en que detectó el movimiento extraño y desactivó los tokens comprometidos.

Una vez dentro, los intrusos no se quedaron mirando. Subieron código malicioso diseñado para cosechar tokens OAuth, esas credenciales que permiten que dos aplicaciones se hablen sin pedir contraseña a cada rato. Con esos tokens en la mano, la autenticación multifactor dejó de importar: ya tenían pase libre.

El propio CEO de Klue lo reconoció en la notificación del incidente.

"Nuestra investigación determinó que un atacante obtuvo acceso mediante una credencial heredada comprometida asociada a un servicio de integración", declaró Jason Smith, director ejecutivo de Klue.

Lo que vino después fue cirugía rápida. La firma ReliaQuest documentó que los atacantes usaron scripts automatizados en Python contra la API REST de Salesforce para extraer datos en bloque durante una ventana de 24 horas. Hubo un pico de casi 1,000 consultas en apenas 15 minutos y, en algunas redes, el robo se sostuvo por más de seis horas seguidas.

Qué datos se robaron (y qué no)

La buena noticia, dentro de lo malo, es que el botín fue comercial y no crítico. Las empresas afectadas y los investigadores coinciden en que lo sustraído fue información de negocio almacenada en Salesforce:

• Nombres, correos electrónicos, teléfonos y cargos de contactos de negocio
• Direcciones comerciales y datos de cuentas de ventas
• Cotizaciones de precios
• Comunicaciones relacionadas con ventas

Lo que no se tocó importa igual. No hay evidencia de que se hayan filtrado contraseñas, datos de tarjetas de pago, inteligencia de amenazas, telemetría de producto ni los sistemas centrales de las compañías. Varias de las afectadas subrayaron que el daño quedó contenido a lo accesible vía la integración Klue–Salesforce, sin tocar sus productos, redes internas ni entornos de producción.

El problema no fue Salesforce, fue la integración

Aquí está la parte que conviene entender bien, sobre todo si tu empresa corre sobre las mismas herramientas. Salesforce desactivó la infraestructura de integración de la app de Klue —conocida como Klue Battlecards— el 17 de junio para cortar el acceso, y dejó claro que el agujero no estaba en su plataforma.

"Nuestros equipos de seguridad detectaron recientemente actividad inusual relacionada con la app que pudo haber resultado en acceso no autorizado a un subconjunto de datos de clientes a través de la conexión de la app con Salesforce. Este problema se limita a la conexión de la app de Klue y no surge de una vulnerabilidad dentro de la plataforma de Salesforce", indicó la compañía en su aviso.

Esa distinción es el corazón del caso. No hace falta romper la caja fuerte si alguien dejó una copia de la llave en manos de un proveedor. Klue cortó por lo sano y apagó también sus conexiones con HubSpot, Microsoft SharePoint, Zoom, Google Drive y Slack.

No es un episodio aislado. Es el modelo de moda entre los atacantes: golpear a un intermediario que guarda las llaves de cientos de empresas y, de un solo golpe, llevarse los datos de todas. El año pasado ocurrió con Salesloft Drift, cuando el grupo UNC6395 usó tokens robados para exportar datos de más de 700 cuentas de Salesforce, y con Gainsight, donde ShinyHunters hizo lo propio. Klue es el capítulo más reciente de la misma historia.

Por qué esto le toca a cualquier empresa con SaaS

Para la gran mayoría de los negocios —en México, España o donde sea— la lección no es teórica. Si tu operación conecta Salesforce, HubSpot o cualquier nube con apps de terceros mediante OAuth, heredas el riesgo de cada uno de esos socios.

"Los reportes SOC 2, los controles de acceso, los estándares de cifrado y las revisiones de seguridad de API siguen siendo importantes, pero no son suficientes cuando los datos de un socio pueden influir directamente en sistemas de IA o flujos de trabajo de seguridad automatizados", advirtió Ben Faircloth, director sénior de soluciones de IA en Seekr.

Los investigadores que analizaron el caso recomiendan medidas concretas y poco glamorosas, de las que de verdad mueven la aguja:

• Auditar las apps conectadas por OAuth y eliminar integraciones sin uso o no autorizadas
• Revocar y rotar credenciales, cuentas de servicio y tokens de forma periódica, sin dejar "credenciales de prueba" colgadas para siempre
• Aplicar el mínimo privilegio: limitar qué datos y qué permisos recibe cada app conectada
• Vigilar las APIs en busca de picos raros, exportaciones masivas o accesos fuera de patrón

Para las empresas afectadas, el consejo inmediato fue tajante: revocar y reemitir todas las contraseñas y permisos OAuth ligados a la plataforma de Klue.

Icarus, un grupo de extorsión que opera desde abril de 2026, fijó como fecha límite el lunes 22 de junio para que Klue pagara antes de volcar la información en su sitio de filtraciones. Con o sin pago, el caso ya dejó una factura difícil de borrar: hasta las casas que venden seguridad descubrieron que su perímetro terminaba en la puerta de un proveedor.

Fuentes: 1, 2, 3