El martes pasado se confirmó algo que muchos en la pega de seguridad ya temíamos: Klue, una empresa canadiense de inteligencia de mercado, fue comprometida y los atacantes se llevaron datos de sus clientes. Entre las víctimas confirmadas están Huntress, HackerOne, Jamf, Recorded Future, Tanium, Gong, Insurity, OneTrust, Snyk y Sprout Social. Todas son empresas serias, y varias de ellas dedicadas precisamente a la ciberseguridad. Es como si le robaran la billetera al guardia de seguridad del banco.
Cómo pasó
Según el comunicado de Klue, los atacantes entraron el 12 de junio usando una credencial legada comprometida —una contraseña o token viejo— asociada a una herramienta de integración que conecta los datos en la nube de los clientes con la plataforma de Klue. Básicamente, un punto de unión entre la nube del cliente y Klue se convirtió en la puerta trasera. Los hackers accedieron a entornos de clientes, especialmente bases de datos de Salesforce, y se llevaron información de contacto de negocios: nombres, correos, teléfonos, cargos y algo de información de cuentas.
El grupo Icarus se adjudicó el ataque y amenazó con publicar los datos el 22 de junio si no se pagaba un rescate. Klue contrató a CrowdStrike para la respuesta al incidente, desconectó las integraciones y empezó a notificar a los afectados. Pero hay preguntas que quedan sin respuesta: ¿cómo se comprometió esa credencial? ¿por qué no se detectó antes? ¿y por qué una empresa que maneja datos de cientos de clientes no tenía un responsable de ciberseguridad claramente identificado en su equipo ejecutivo?
El patrón que no aprendemos
Esto no es un caso aislado. En noviembre del año pasado, Gainsight sufrió una brecha que afectó a unas 200 empresas. En septiembre, Salesloft tuvo un incidente similar. En 2024, el caso Snowflake demostró cómo el robo masivo de credenciales vía malware infostealer puede desencadenar una catástrofe en cadena. Y en mayo de este año, TanStack fue el punto de falla que expuso datos de OpenAI.
La estrategia de los atacantes es clara: en lugar de atacar a cada empresa por separado, buscan un eslabón débil en la cadena de suministro. Si logran comprometer una plataforma que conecta a muchos clientes, obtienen acceso a decenas o cientos de organizaciones de una sola vez. Es eficiente, es económico y, por ahora, sigue funcionando.
Mi opinión
Como ingeniero de sistemas, esto me tiene más preocupado que los ataques directos. No porque sea más grave, sino porque es más difícil de controlar. Tú puedes tener firewalls, MFA, segmentación de red y un equipo de seguridad sólido en tu empresa. Pero si el proveedor de inteligencia de mercado, la herramienta de CRM o la plataforma de análisis que usas tiene una credencial vieja olvidada en algún servidor, todo eso se va al chancho.
Lo que me llama la atención es que Klue había despedido alrededor del 50% de su personal en junio de 2025, unos 100 trabajadores. No digo que eso sea la causa directa, pero cuando recortas a la mitad de tu equipo, algo se pierde. Conocimiento institucional, revisión de accesos, mantenimiento de credenciales. Esas cosas no se ven en el balance, pero se sienten en un incidente como este.
La lección, una vez más, es que la seguridad no termina en tu perímetro. Tienes que mirar hacia afuera, revisar qué integraciones tienes, qué tokens están activos, quién tiene acceso a qué. Y si tu proveedor no puede decirte claramente quién es su responsable de seguridad, quizás es hora de preguntarse si deberías seguir confiando en ellos.
La cadena de suministro es el nuevo campo de batalla. Y por ahora, vamos perdiendo.
Fuente de inspiración: Klue hack results in data breach at several cybersecurity firms
