Una brecha en Klue expone datos de clientes de LastPass y otras compañías. La empresa asegura que las bóvedas permanecen seguras.
LastPass ha confirmado que datos personales de sus clientes —incluyendo nombres, números de teléfono, correos electrónicos y direcciones físicas— han quedado expuestos tras un ciberataque a Klue, la plataforma de inteligencia de mercado integrada con sus sistemas de Salesforce y Gong. El incidente no es aislado, ya que otras compañías como HackerOne, Recorded Future y Tanium también han resultado perjudicadas.
➡️ Te puede interesar: Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa
El ataque tuvo su origen el 12 de junio, cuando Klue detectó actividad no autorizada en parte de su infraestructura de integración. Tras investigar el caso, la compañía determinó que los ciberdelincuentes accedieron al sistema «utilizando una credencial heredada comprometida asociada a un servicio de integración como puerta de entrada». A partir de ahí, los actores maliciosos obtuvieron tokens OAuth, mecanismos de autenticación que permiten conectar Klue con plataformas externas como Salesforce, y los utilizaron para moverse lateralmente por los entornos de varios clientes.
Acceso mediante credenciales comprometidas y tokens OAuth
En el caso concreto de LastPass, los atacantes emplearon esos tokens para acceder al entorno Salesforce y recopilar datos personales de usuarios, además de información relacionada con casos de soporte y actividad comercial. Sin embargo, el servicio de gestión de contraseñas ha subrayado en su blog que sus productos, servicios e infraestructura «no se vieron afectados de ninguna manera» y que las bóvedas de contraseñas de los clientes permanecen seguras. Tampoco hay evidencias de acceso a datos vinculados a Gong.
Ante el incidente, LastPass señala que «actuó con rapidez»: suspendió el acceso de todos sus empleados a Klue, rotó los tokens de acceso a la API expuestos y colaboró con sus contactos en Klue y Salesforce para mitigar el daño. Paralelamente, la empresa notificó a los usuarios afectados y está cooperando con las fuerzas del orden. Por su parte, Klue revocó las credenciales y tokens comprometidos, eliminó código no autorizado y desactivó las integraciones potencialmente afectadas con otros servicios.
Amenaza de extorsión y riesgos de phishing tras la filtración
El grupo que se ha atribuido la autoría del ataque es conocido como Icarus, según han recogido medios como TechCrunch y Bleeping Computer. El colectivo ha amenazado con publicar los datos robados si no recibe un pago de rescate, lo que convierte el incidente en un caso de extorsión con información sensible. Ante este escenario, LastPass ha recomendado a sus usuarios «mantenerse alerta ante posibles ataques de phishing o intentos de ingeniería social», que los atacantes podrían orquestar aprovechando los datos de contacto obtenidos.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
No es la primera vez que LastPass se ve envuelta en una crisis de seguridad. En 2022, la compañía ya sufrió una filtración de mayor gravedad, en la que los ciberdelincuentes lograron robar datos encriptados de las bóvedas de los clientes, incluidas contraseñas maestras que posteriormente consiguieron vulnerar mediante ataques de fuerza bruta. En esta ocasión, el alcance queda limitado a los sistemas integrados con Klue, aunque la exposición de datos personales abre la puerta a ataques secundarios de ingeniería social.
