Imagina que tu empresa cambia de oficina, pero olvida cancelar la copia de la llave que le dio a un proveedor que dejó de trabajar contigo hace meses. Un día alguien encuentra esa llave, entra, y no solo roba tus archivos, también usa tu oficina para abrir las puertas de todos tus clientes. Eso es exactamente lo que pasó con Klue.
El 11 de junio de 2026, un grupo criminal usó una credencial abandonada para infiltrar a Klue, una plataforma canadiense de inteligencia de mercado que conecta sus sistemas con las bases de datos de sus clientes a través de integraciones como Salesforce, HubSpot, Gong y Slack. Desde ahí, los atacantes robaron datos comerciales de al menos 12 organizaciones muchas de ellas empresas de ciberseguridad. Los detalles fueron confirmados por Huntress, Recorded Future y ReliaQuest en investigaciones independientes publicadas esta semana.
¿A quién afectó?
La lista de víctimas confirmadas incluye nombres que cualquier profesional de ciberseguridad reconoce: HackerOne, Huntress, Recorded Future, Jamf, Tanium, Snyk, OneTrust, Sprout Social, Insurity y Gong. BeyondTrust y LastPass también confirmaron haber sido impactados. La ironía es evidente: empresas cuyo negocio es proteger a otros fueron víctimas de un ataque a su cadena de suministro digital.
Los datos robados son principalmente comerciales, nombres de contacto, correos electrónicos, títulos, cotizaciones, comunicaciones de ventas e información de cuentas extraídos directamente de las instancias de Salesforce de las víctimas. Ninguna empresa reportó robo de contraseñas, datos de pago o telemetría de sus productos de seguridad. Pero eso no minimiza el riesgo: una base de datos con los nombres, correos y cotizaciones de los clientes de una empresa de ciberseguridad es oro para campañas de phishing dirigido.
¿Cuál es el riesgo real para una PyME mexicana?
Riesgo económico
Si un atacante obtiene las cotizaciones que tu proveedor de software le envió a tu empresa, sabe exactamente cuánto pagas, qué productos usas y quién es tu contacto comercial. Con esa información puede fabricar un correo falso perfectamente creíble pidiéndote un pago urgente o un cambio de cuenta bancaria.
Riesgo operativo
Las integraciones entre plataformas son el tejido conectivo de cualquier empresa moderna. Si usas Salesforce conectado con tu herramienta de email marketing, tu CRM enlazado con tu sistema de facturación, o cualquier plataforma que comparta datos con otra cada una de esas conexiones es un punto de entrada potencial. En el caso de Klue, una sola credencial olvidada abrió el acceso a los datos de decenas de empresas simultáneamente.
Riesgo reputacional
El grupo criminal Icarus, que surgió apenas en abril de 2026 y se atribuyó el ataque, amenazó con publicar los datos robados si las víctimas no pagaban. El correo de extorsión llegó con el asunto "top secret email" y daba 48 horas para negociar. Para una PyME, una filtración pública de datos de clientes puede significar la pérdida de contratos y confianza que tardó años en construirse.
¿Cómo funcionó el ataque?
El mecanismo es sorprendentemente simple, y eso es lo que lo hace tan peligroso.
Paso 1 La llave olvidada. Klue tenía una credencial vieja creada para probar una integración con un tercero. El proyecto se abandonó, pero la credencial nunca se eliminó del sistema. Los atacantes la encontraron y la usaron para entrar a la infraestructura de Klue.
Paso 2 Robar los permisos de todos. Una vez dentro, los criminales modificaron el código de Klue para recolectar los tokens OAuth de sus clientes. Un token OAuth es como un permiso digital que dice: "Klue tiene autorización para acceder a mi Salesforce." Al robar esos tokens, los atacantes heredaron los permisos de acceso que cada cliente le había otorgado a Klue, sin necesitar ninguna contraseña.
Paso 3 Saquear en silencio. Con los tokens en mano, los atacantes consultaron directamente las bases de datos de Salesforce de las víctimas a través de la API. ReliaQuest documentó que el atacante ejecutó scripts automatizados que extrajeron grandes volúmenes de datos de CRM en aproximadamente 24 horas, incluyendo una ráfaga de casi mil consultas en solo 15 minutos.
Paso 4 Extorsión. El 16 de junio, las víctimas recibieron correos de extorsión enviados desde servidores comprometidos de empresas australianas de retail. Huntress rastreó las comunicaciones hasta el grupo Icarus con alta confianza.
Klue detectó la actividad el 12 de junio, revocó los tokens comprometidos y desactivó todas sus integraciones con Salesforce, HubSpot, SharePoint, Zoom, Google Drive y Slack. Salesforce deshabilitó la integración de Klue Battlecards el 17 de junio. CrowdStrike fue contratado para la investigación forense.
¿Qué hace este ataque diferente?
Este incidente no es aislado. Es parte de una ola de ataques OAuth que ha golpeado al ecosistema de Salesforce desde 2025. Antes de Klue, los grupos ShinyHunters y UNC6395 ejecutaron ataques similares contra Salesloft Drift y Gainsight, usando el mismo patrón: comprometer un intermediario, robar tokens, extraer datos de CRM. Las credenciales comprometidas siguen siendo la puerta de entrada más común en ataques contra empresas.
La lección central es brutal: tu seguridad es tan fuerte como el proveedor más débil que tiene acceso a tus datos.
Qué hacer: esta semana, este mes y a largo plazo
Esta semana: Haz un inventario de todas las aplicaciones de terceros conectadas a tu Salesforce, HubSpot, Google Workspace u otras plataformas. Busca integraciones que ya no uses y revoca sus permisos inmediatamente. Si usas Klue específicamente, sigue las instrucciones de remediación de Klue y rota todas las credenciales asociadas.
Este mes: Implementa una política de revisión trimestral de integraciones activas. Cada conexión entre plataformas debe tener un responsable asignado, un propósito documentado y una fecha de expiración. Las credenciales de prueba o prototipos deben eliminarse el mismo día que se abandona el proyecto, nunca dejarse "por si acaso."
Activa monitoreo continuo de la actividad de API en tus plataformas críticas. Una ráfaga de mil consultas en 15 minutos desde un agente de usuario Python debería disparar una alerta inmediata, no descubrirse semanas después.
A largo plazo: Evalúa a tus proveedores de software como evalúas a un empleado con acceso a tu bóveda. Antes de conectar cualquier plataforma nueva, pregunta: ¿qué datos va a acceder? ¿Con qué permisos? ¿Quién en su equipo tiene acceso a esos permisos? Una evaluación de vulnerabilidades profesional puede mapear exactamente dónde están tus puntos ciegos en la cadena de suministro digital.
Complementa con monitoreo de dark web para detectar si datos de tu empresa, correos de empleados, credenciales, cotizaciones ya están circulando en foros de extorsión como el de Icarus.
Conclusión
El ataque a Klue demuestra que en 2026, la frontera entre "tu red" y la de tus proveedores ya no existe. Una credencial de prueba olvidada en un sistema de un tercero fue suficiente para comprometer los datos comerciales de una docena de empresas que venden seguridad para vivir. Si les pasó a ellos, puede pasarle a cualquiera.
La pregunta no es si tu empresa usa integraciones entre plataformas, casi todas lo hacen. La pregunta es: ¿sabes exactamente cuántas conexiones activas tienes, quién las controla y cuáles ya no deberían existir?
¿Quieres saber cuántos accesos de terceros tiene tu empresa y cuáles representan un riesgo? Agenda un diagnóstico gratuito de 30 minutos en codigovigia.com/contactanos sin compromisos, sin tecnicismos.