Crece la lista de víctimas del incidente de seguridad en Klue: el grupo Icarus reivindica el ataque

Qué pasó

La plataforma canadiense de inteligencia de mercado Klue confirmó públicamente un incidente de seguridad que afectó parte de su infraestructura de integraciones. Según declaró el director ejecutivo de la compañía, Jason Smith, el 12 de junio la empresa identificó actividad no autorizada vinculada a credenciales heredadas comprometidas en un servicio de integración.

De acuerdo con el comunicado emitido esta semana, un atacante obtuvo acceso mediante una credencial heredada y la utilizó para conseguir tokens de OAuth empleados en la conexión de Klue con plataformas de terceros, entre ellas Salesforce. Con esos tokens, accedió posteriormente a datos en varios entornos de clientes.

Klue aseguró que, hasta el momento, no existen antecedentes de que el contenido almacenado directamente en la plataforma haya sido comprometido, y que el incidente se limitó a las integraciones externas. La compañía revocó de inmediato las credenciales y tokens afectados, eliminó código no autorizado, desactivó las integraciones impactadas, lanzó una investigación interna y notificó a las fuerzas de seguridad. La firma CrowdStrike fue contratada para colaborar en la respuesta.

Las firmas ReliaQuest y Huntress determinaron que los atacantes utilizaron credenciales de OAuth sustraídas para acceder a entornos de Salesforce de los clientes y ejecutar un robo de datos a gran escala. ReliaQuest observó a los atacantes generando tokens de OAuth y utilizando secuencias de comandos en Python para consultar la interfaz de programación de Salesforce durante períodos extendidos. Huntress, por su parte, reveló que su propio entorno de Salesforce se vio afectado, e informó que los datos sustraídos incluían contactos comerciales, comunicaciones de ventas, información de precios y otros registros.

En paralelo, el nuevo grupo de extorsión Icarus asumió públicamente la responsabilidad del ataque a través de su sitio de filtración de datos, señalando que otras empresas asociadas a Klue también vieron comprometidos sus datos en Salesforce.

Contexto

El incidente en Klue se inscribe en una tendencia creciente de ataques a la cadena de suministro de software, donde los atacantes comprometen a un proveedor para acceder de forma indirecta a múltiples organizaciones clientes. Este tipo de estrategia resulta especialmente atractiva para los grupos de extorsión, ya que un solo punto de acceso puede entregar información sensible de decenas o cientos de empresas en una sola operación.

Los tokens de OAuth, mecanismo estándar de autorización utilizado para que aplicaciones de terceros accedan a datos de usuarios sin compartir contraseñas, se han convertido en uno de los activos más codiciados por los ciberdelincuentes. Cuando son sustraídos, permiten a los atacantes operar con los mismos privilegios que la aplicación legítima, dificultando su detección.

La aparición de Icarus como nuevo actor en el escenario de la extorsión digital refleja la fragmentación del ecosistema de cibercrimen. Tras la disrupción de grupos históricos, han emergido nuevas organizaciones que adoptan modelos similares de doble extorsión, combinando el robo de datos con la amenaza de publicación pública. La rápida reivindicación del ataque sugiere una estrategia orientada a maximizar la presión sobre las víctimas y demostrar capacidad operativa.

Impacto para empresas chilenas

Para las empresas chilenas que utilizan plataformas de inteligencia competitiva o herramientas de gestión de relaciones con clientes, este incidente subraya la necesidad de evaluar con mayor rigor la superficie de exposición que generan las integraciones con proveedores extranjeros. Aunque Klue no tiene una presencia masiva en el mercado local, empresas medianas y grandes con operaciones internacionales podrían verse afectadas si sus datos formaban parte de los entornos comprometidos.

El caso también pone en relieve la dependencia de muchas organizaciones chilenas de ecosistemas de software globales, donde una vulnerabilidad en un proveedor puede traducirse en filtración de información estratégica, incluidos datos de clientes, comunicaciones comerciales y estructuras de precios. En sectores como el financiero, el retail y la minería, esta información tiene un valor competitivo significativo.

Adicionalmente, el incidente refuerza la urgencia de que las empresas locales adopten prácticas más estrictas de gestión de identidad y acceso, incluyendo la rotación periódica de credenciales de integración, la supervisión activa de actividades anómalas en interfaces de programación y la segmentación de los datos compartidos con terceros.

Qué sigue

Es probable que en las próximas semanas continúen surgiendo nuevas víctimas del incidente, a medida que las empresas afectadas identifiquen el alcance de la filtración. Las investigaciones de Huntress, ReliaQuest y CrowdStrike podrían arrojar mayor claridad sobre el vector inicial de compromiso y la magnitud total de los datos sustraídos. A nivel regulatorio, el caso podría motivar a organismos de protección de datos en distintas jurisdicciones a revisar los requisitos de notificación y las responsabilidades de los proveedores de software respecto a la seguridad de las integraciones externas.