Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Brecha en Klue expone datos de Salesforce
Noticias

Brecha en Klue expone datos de Salesforce

por Dragora
Escrito por Dragora

Una grave brecha de seguridad en la plataforma de inteligencia competitiva Klue ha desencadenado una campaña de robo de datos y extorsión que afecta a múltiples organizaciones que utilizan integraciones con Salesforce. El incidente, atribuido al grupo de amenazas conocido como Icarus, permitió a los atacantes acceder a datos sensibles de CRM mediante el abuso de tokens OAuth robados, generando preocupación entre empresas que dependen de plataformas SaaS para gestionar información crítica de clientes y operaciones comerciales.

La investigación publicada por diversas firmas de ciberseguridad revela que los atacantes lograron infiltrarse en los sistemas backend de Klue, comprometiendo posteriormente integraciones utilizadas por clientes para conectar la plataforma con Salesforce y otros servicios empresariales.

¿Qué ocurrió en la brecha de seguridad de Klue?

Según la información revelada por investigadores de seguridad, los atacantes obtuvieron acceso a los sistemas internos de Klue y utilizaron ese acceso para desplegar una actualización maliciosa diseñada específicamente para capturar tokens OAuth utilizados por los clientes.

OAuth es un mecanismo ampliamente utilizado para autorizar aplicaciones de terceros sin necesidad de compartir directamente credenciales de usuario. Sin embargo, cuando estos tokens son robados, los atacantes pueden acceder a los recursos autorizados como si fueran usuarios legítimos.

En este caso, los ciberdelincuentes utilizaron los tokens comprometidos para conectarse directamente a instancias de Salesforce pertenecientes a diversas organizaciones y extraer información sensible almacenada en sus plataformas CRM.

La gravedad del incidente llevó a Salesforce a deshabilitar temporalmente la integración de Klue Battlecards mientras continúa la investigación.

Salesforce suspende la integración de Klue Battlecards

Como medida preventiva, Salesforce confirmó la suspensión temporal de la conexión entre su plataforma y la aplicación Klue Battlecards.

La decisión busca evitar nuevos accesos no autorizados mientras se determina el alcance total de la intrusión y se implementan controles de seguridad adicionales.

La interrupción afecta a las organizaciones que utilizaban esta integración para acceder a inteligencia competitiva y datos comerciales dentro de sus flujos de trabajo de ventas y marketing.

Aunque la medida puede generar inconvenientes operativos, representa una acción necesaria para contener posibles riesgos adicionales derivados de la brecha.

Cómo los atacantes utilizaron los tokens OAuth robados

La empresa de ciberseguridad ReliaQuest analizó la actividad observada durante el incidente y descubrió que los atacantes utilizaron scripts automatizados en Python para interactuar con la API REST de Salesforce.

La actividad comenzó con tareas de reconocimiento destinadas a identificar los objetos disponibles dentro de cada entorno comprometido.

Para ello, los atacantes consultaron inicialmente el endpoint:

  • /services/data/v59.0/sobjects

Posteriormente utilizaron:

  • /services/data/v59.0/query

para extraer grandes volúmenes de información.

Los investigadores observaron una metodología cuidadosamente diseñada para evitar la detección temprana.

Reconocimiento gradual

En una primera fase, los operadores de Icarus realizaron consultas lentas y discretas para identificar los objetos de mayor valor dentro de Salesforce.

Este proceso permitió mapear:

  • Bases de datos de clientes.
  • Registros comerciales.
  • Oportunidades de venta.
  • Información de cuentas.
  • Comunicaciones empresariales.

Exfiltración acelerada

Una vez identificados los datos de interés, los atacantes incrementaron drásticamente la velocidad de las consultas.

ReliaQuest documentó casos donde se realizaron cerca de mil consultas en apenas quince minutos, lo que permitió una extracción masiva de información antes de que los equipos de seguridad detectaran la actividad.

En otros entornos comprometidos, la exfiltración de datos se prolongó durante aproximadamente seis horas.

Icarus: el nuevo grupo de extorsión detrás del ataque

Inicialmente, algunos investigadores señalaron similitudes con operaciones históricas del grupo ShinyHunters debido al uso de técnicas similares de robo de datos vinculadas a integraciones SaaS.

Sin embargo, investigaciones posteriores confirmaron que el responsable era un actor emergente denominado Icarus.

Este grupo apareció públicamente en abril de 2026 y rápidamente comenzó a construir una reputación dentro del ecosistema de la ciberdelincuencia mediante campañas de extorsión dirigidas contra grandes organizaciones.

Los atacantes enviaron correos electrónicos de extorsión a empresas afectadas utilizando el alias «Mr Bean», exigiendo pagos para evitar la publicación de los datos robados.

Además, el portal de filtraciones operado por Icarus publicó mensajes amenazantes dirigidos a futuras víctimas, incluyendo una publicación titulada «Prepárense», donde advertían que grandes corporaciones serían expuestas próximamente.

Huntress confirma que también fue víctima

La firma de ciberseguridad Huntress confirmó públicamente que fue una de las organizaciones afectadas por la brecha de Klue.

La compañía reveló haber recibido correos electrónicos de extorsión similares a los observados por otros investigadores.

Un elemento particularmente relevante fue que el identificador utilizado en la plataforma Session Messenger coincidía con los datos publicados en el portal de filtraciones de Icarus, reforzando la atribución del ataque.

La confirmación por parte de una empresa especializada en ciberseguridad aporta credibilidad adicional a la investigación y demuestra el alcance real de la campaña.

Cómo lograron comprometer los sistemas de Klue

Según la información compartida por Huntress, los atacantes habrían aprovechado una credencial antigua que permanecía activa dentro de la infraestructura de Klue.

Esta credencial estaba asociada a una integración prototipo desarrollada previamente por la compañía.

Tras obtener acceso inicial al entorno backend, los operadores de Icarus:

  1. Comprometieron sistemas internos de Klue.
  2. Desplegaron código malicioso.
  3. Robaron tokens OAuth de clientes.
  4. Accedieron directamente a instancias de Salesforce.
  5. Extrajeron información corporativa sensible.

Este incidente pone de manifiesto los riesgos asociados a credenciales obsoletas, cuentas de prueba olvidadas y activos tecnológicos que permanecen activos más allá de su ciclo operativo.

Correo electrónico de extorsión de ÍcaroCorreo electrónico
de extorsión ÍcaroFuente: BleepingComputer

Qué datos fueron robados

Las investigaciones indican que los atacantes obtuvieron acceso principalmente a información relacionada con CRM y operaciones comerciales.

Entre los datos comprometidos se incluyen:

Información de clientes

  • Contactos comerciales.
  • Datos de cuentas.
  • Historial de relaciones comerciales.

Actividades de ventas

  • Comunicaciones de ventas.
  • Oportunidades comerciales.
  • Seguimiento de clientes potenciales.

Inteligencia competitiva

  • Informes estratégicos.
  • Análisis de mercado.
  • Información sobre competidores.

Información financiera

  • Presupuestos.
  • Cotizaciones.
  • Propuestas comerciales.

No obstante, Huntress indicó que no encontró evidencias de compromiso relacionado con:

  • Contraseñas.
  • Datos de tarjetas de pago.
  • Telemetría de clientes.
  • Sistemas de ingeniería.
  • Información de inteligencia de amenazas.

Integraciones deshabilitadas durante la respuesta al incidente

Como parte de las acciones de contención, Klue suspendió temporalmente diversas integraciones empresariales, incluyendo:

  • Salesforce.
  • HubSpot.
  • SharePoint.
  • Zoom.
  • Gong.
  • Chorus.
  • Clari.
  • Google Drive.
  • Slack.

Esta medida busca evitar que los atacantes utilicen otros canales de integración para acceder a información adicional.

Indicadores de compromiso y recomendaciones

Las organizaciones que utilizan Klue deben revisar inmediatamente los registros de actividad relacionados con Salesforce y otras plataformas conectadas.

Las direcciones IP asociadas al ataque incluyen:

  • 138.226.246.94
  • 212.86.125.24
  • 213.111.148.90
  • 94.154.32.160

Los expertos recomiendan:

  • Revocar todos los tokens OAuth activos.
  • Generar nuevos tokens de integración.
  • Finalizar sesiones activas.
  • Revisar registros de auditoría de Salesforce.
  • Analizar accesos inusuales a APIs.
  • Implementar monitorización continua de aplicaciones SaaS.
  • Aplicar principios de mínimo privilegio.

En fin…

La brecha de seguridad sufrida por Klue demuestra cómo las integraciones SaaS basadas en OAuth pueden convertirse en un objetivo extremadamente atractivo para grupos de extorsión modernos. El robo de tokens permitió a Icarus acceder directamente a entornos Salesforce de múltiples organizaciones, exfiltrar información crítica y lanzar campañas de chantaje dirigidas.

A medida que las empresas aumentan su dependencia de ecosistemas conectados en la nube, la gestión segura de tokens OAuth, credenciales heredadas e integraciones de terceros se convierte en un componente esencial de cualquier estrategia de ciberseguridad. Este incidente sirve como recordatorio de que una sola integración comprometida puede abrir la puerta a una brecha de gran escala con consecuencias operativas, financieras y reputacionales significativas.

Fuente: Bleeping Computer

0 Comentar
0
FacebookTwitterPinterestLinkedinEmail

You may also like

Nuevo malware Clipper roba criptomonedas vía USB

PCPJack secuestra 230 servidores AWS, Google Cloud y...

Las estafas de la Copa Mundial de la...

Redis corrige fallo crítico RCE descubierto por IA

HTTP/2 Bomb amenaza NGINX, Apache e IIS

Cisco corrige fallo crítico CVSS 10 en Secure...

Europa y EE. UU. desmantelan VPN usada por...

Microsoft corregirá fallo de contraseñas en Edge

Microsoft confirma ataques contra Exchange Server

Malware detectado en versiones npm de node-ipc

Dejar Comentario

Guardar mi nombre y email para el próximo comentario

Click to listen highlighted text!