Ataque a Klue: la credencial olvidada que desató una cascada de robos de datos en Salesforce

Una vez dentro, los atacantes ejecutaron código malicioso que recolectó los tokens OAuth de Salesforce y otras integraciones de terceros de los entornos de los clientes de Klue . Con esos tokens, suplantaron la identidad de la aplicación de Klue y realizaron consultas directas a los CRM de Salesforce conectados a través de la API REST, llegando a disparar cerca de 1.000 llamadas API cada 15 minutos en ráfagas concentradas durante aproximadamente 24 horas .

Para cuando Klue alertó a sus clientes el 13 de junio, los atacantes ya habían extraído los tokens de cientos de organizaciones de Salesforce conectadas . Los datos robados incluyen contactos comerciales, clientes potenciales, historiales de casos de soporte al cliente, nombres, direcciones de correo electrónico, números de teléfono e información de precios . Este ataque es la tercera brecha en la cadena de suministro de OAuth de Salesforce en diez meses, después de los ataques a Drift (Salesloft) y Gainsight .

📋 ¿Quiénes se vieron afectados?

Los atacantes utilizaron los tokens OAuth robados para acceder a los datos de Salesforce de cientos de clientes empresariales de Klue . Las siguientes organizaciones han confirmado públicamente haber sido víctimas:

Huntress publicó un análisis detallado calificando el incidente como un "efecto dominó de seguridad", señalando que Icarus publicó posteriormente sus datos en su sitio de filtraciones .

🔑 ¿Cómo se desarrolló el ataque?

La cadena de ataque fue directa y explotó un punto ciego común en la seguridad SaaS: las credenciales olvidadas. Klue creó una credencial OAuth para un prototipo de integración que nunca se implementó y nunca se eliminó de los sistemas activos . El 11 de junio, el grupo Icarus encontró esa credencial, se autenticó en el backend de Klue e inyectó código malicioso en su capa de integración. Ese código recolectó todos los tokens OAuth que Klue poseía para las integraciones de sus clientes, incluyendo Salesforce, HubSpot, Gong, SharePoint, Zoom y más . Con esos tokens, los atacantes consultaron directamente los entornos de Salesforce sin necesidad de otras credenciales.

📊 Exfiltración de datos en detalle

Los atacantes no robaron los datos de forma silenciosa. La firma de seguridad ReliaQuest observó la actividad e informó que los atacantes lanzaron cerca de 1.000 consultas API en una sola ráfaga de 15 minutos y mantuvieron ventanas de extracción sostenida que superaron las 6 horas . La exfiltración total duró aproximadamente 24 horas . Los atacantes utilizaron scripts automatizados en Python para extraer registros de forma masiva a través de endpoints de la API REST de Salesforce como /services/data/v59.0/query/* . Los datos robados se limitaron a información de CRM y ventas, sin incluir sistemas internos o credenciales de las organizaciones afectadas .

⚡ La respuesta de Klue y Salesforce

• Klue detectó la actividad no autorizada el 12 de junio y comenzó a notificar a los clientes el 13 de junio. La empresa cortó las integraciones y trabajó con los clientes afectados para rotar los tokens . Klue confirmó que los atacantes utilizaron una credencial heredada comprometida para obtener tokens OAuth y acceder a los entornos de Salesforce de sus clientes .
• Salesforce desactivó la aplicación Klue Battlecards en todas las instancias de clientes afectadas a las 7:22 p.m. BST del 17 de junio de 2026, sin previo aviso a los clientes . Salesforce instó a todos los clientes de Klue conectados a rotar los tokens OAuth y revisar los registros de auditoría de la API en busca de consultas no autorizadas .

🕵️‍💻 El grupo de extorsión Icarus y el alias "mr bean"

Un grupo criminal recién rastreado que se hace llamar Icarus se atribuyó la responsabilidad. El grupo ha estado activo desde aproximadamente abril de 2026 y comenzó a publicar víctimas en su sitio de filtraciones a finales de junio . Icarus contactó a las víctimas por correo electrónico utilizando el alias "mr bean" (en minúsculas), exigiendo el pago a cambio de no publicar los datos robados de Salesforce . El 22 de junio, Icarus comenzó a publicar datos robados de Huntress y otras víctimas en su sitio web dedicado a filtraciones . Este grupo es el primero conocido en utilizar esta tubería específica de Klue-OAuth a Salesforce, marcando un cambio con respecto a los ataques anteriores liderados por ShinyHunters contra integraciones de terceros similares de Salesforce . Huntress confirmó que los datos publicados por Icarus coincidían con el alcance de lo que ya se había informado y que los archivos de Huntress eran de naturaleza limitada .

🔍 Por qué esto es importante

Esta brecha no es un incidente aislado. Es la tercera gran brecha en la cadena de suministro de OAuth de Salesforce en menos de un año, después de los ataques a Drift (Salesloft) y Gainsight . El patrón es consistente: los atacantes apuntan al centro de integración, roban los tokens OAuth y los utilizan para acceder a los entornos CRM sin activar alarmas, ya que las consultas provienen de una aplicación de terceros de confianza. La brecha de Klue también subraya el peligro de las credenciales huérfanas en entornos SaaS: una credencial creada para un prototipo y nunca eliminada se convirtió en el único punto de fallo para cientos de organizaciones empresariales con Salesforce .