🙌 ¡Gracias por contactarnos!
📩 Te hemos enviado un correo con los siguientes pasos, no olvides revisar tu buzón
¡Ups! Algo salió mal al enviar el formulario.
Análisis de sector

Icarus compromete Klue y roba datos CRM de Salesforce en cadena de suministro SaaS

Josue Guerrero
Publicado
30 Jun 2026
3 min
de lectura

El 11 de junio de 2026, el grupo de extorsión Icarus aprovechó una credencial heredada sin rotar en la plataforma de inteligencia competitiva Klue para inyectar código malicioso y cosechar tokens OAuth de sus clientes. Con esos tokens en mano, accedió a las instancias de Salesforce de al menos nueve organizaciones —entre ellas HackerOne, Huntress, OneTrust, Gong y Snyk— y extrajo volúmenes significativos de datos de CRM durante más de seis horas antes de ser detectado.

Cómo ocurrió el ataque

Klue gestiona integraciones OAuth con plataformas como Salesforce, HubSpot, Gong y Slack en nombre de sus clientes. Los atacantes encontraron una cuenta de servicio heredada —activa desde una integración anterior y nunca rotada— que les dio el punto de apoyo inicial para modificar el código de integración de Klue y convertirlo en una herramienta de cosecha masiva de tokens.

Una vez con los tokens, ejecutaron cerca de 1,000 consultas a la API REST de Salesforce en apenas 15 minutos durante el pico del ataque, sosteniendo la extracción durante más de seis horas. Klue detectó la actividad el 12 de junio, revocó credenciales de inmediato y deshabilitó sus integraciones. Salesforce, por su parte, desactivó la aplicación de Klue de forma preventiva. El grupo Icarus envió correos de extorsión a las organizaciones afectadas exigiendo que iniciaran negociaciones antes del 22 de junio o sus datos serían publicados.

Por qué importa: el riesgo de tu SaaS no termina en tu perímetro

Este incidente evidencia un vector que pocas evaluaciones de riesgo tradicionales contemplan: el proveedor SaaS como pivote de ataque. Klue no almacenaba datos críticos directamente; su valor para Icarus era el acceso delegado a los sistemas de sus clientes.

Lo más significativo del caso no es la sofisticación técnica, sino la negligencia en el ciclo de vida de credenciales: una cuenta de servicio no rotada, probablemente olvidada, se convirtió en la llave maestra de nueve organizaciones. La superficie de ataque de cualquier empresa incluye cada token OAuth activo, cada integración habilitada y cada proveedor SaaS con acceso a sus sistemas críticos.

Qué puedes hacer

El riesgo de terceros en entornos SaaS se gestiona con visibilidad, gobernanza y monitoreo continuo:

  • Audita tus integraciones OAuth activas. ¿Sabes cuántas aplicaciones de terceros tienen acceso a tu CRM, correo o repositorios? Un ejercicio de dAttack revela qué conexiones existen y cuáles representan riesgo real de explotación.
  • Formaliza el ciclo de vida de credenciales. Marcos como ISO 27001 y SOC 2 exigen controles de acceso de terceros y rotación periódica de credenciales. Aplicarlos cierra exactamente el tipo de brecha que explotó Icarus.
  • Detecta el comportamiento anómalo antes de que escale. Mil llamadas a una API en 15 minutos es una señal que un dSOC con reglas de detección adecuadas identifica en minutos, no en horas.

En Delta Protect ayudamos a empresas en LATAM a mapear su exposición real —incluyendo el riesgo de sus proveedores SaaS— y a construir los controles que aguanten cuando el ataque llegue por donde menos se espera.

Fuente externa

Contenido relacionado