✨︎ Resumen (TL;DR):
- El grupo Icarus robó datos de Salesforce de al menos nueve empresas tras hackear la plataforma Klue.
- Los atacantes aprovecharon una credencial de prueba olvidada y realizaron mil consultas en 15 minutos.
- Entre las víctimas destacan firmas de ciberseguridad como HackerOne, Snyk, Jamf y Huntress.
El grupo de extorsión Icarus comprometió una vieja credencial de la plataforma canadiense Klue para robar datos de Salesforce de al menos nueve de sus clientes comerciales. Entre las empresas afectadas destacan firmas especializadas en ciberseguridad como HackerOne, Huntress y Jamf, las cuales confirmaron la filtración de su información de ventas sin comprometer sus sistemas internos.
El incidente comenzó cuando los atacantes ubicaron una credencial de prueba antigua y heredada que seguía activa en el backend de Klue. Mediante este acceso, el grupo inyectó código malicioso diseñado para recolectar tokens OAuth. Estas llaves digitales permiten que las aplicaciones se comuniquen entre sí de forma directa, lo que dejó sin efecto cualquier medida de autenticación multifactor.
El director ejecutivo de Klue, Jason Smith, confirmó la falla en una notificación oficial enviada a los usuarios: “Nuestra investigación determinó que un atacante obtuvo acceso mediante una credencial heredada comprometida asociada a un servicio de integración”. Tras ingresar, los criminales usaron scripts en Python para bombardear la API de Salesforce con casi 1,000 consultas en solo 15 minutos, sosteniendo la descarga de datos por más de seis horas.
Información comercial bajo la lupa de los atacantes
Las revisiones de seguridad indican que los atacantes obtuvieron datos comerciales como nombres, correos, teléfonos de contacto, cotizaciones de precios y comunicaciones de ventas de los clientes afectados. Sin embargo, no hay evidencia de robo de contraseñas, telemetría de productos, bases de datos de tarjetas de crédito o inteligencia de amenazas.
Salesforce desactivó de inmediato la aplicación Klue Battlecards para detener el ataque y aclaró que sus sistemas propios no tienen vulnerabilidades. Por su seguridad, Klue también desconectó de forma temporal sus integraciones con plataformas como HubSpot, Slack, Zoom, Google Drive y Microsoft SharePoint, mientras que contrató a la firma de respuesta a incidentes CrowdStrike para contener la situación.
El riesgo latente en las conexiones con terceros
Un token OAuth es un protocolo de autorización que permite a las aplicaciones compartir información entre sí sin necesidad de revelar las contraseñas de las cuentas.
Este ataque representa un riesgo creciente para las empresas que dependen del software como servicio (SaaS). El grupo Icarus, activo desde abril de 2026, fijó un límite de pago que venció el lunes 22 de junio bajo la amenaza de liberar la información. Este caso demuestra que la seguridad de una organización es tan fuerte como el más débil de sus intermediarios.
