Hay un tipo de brecha de seguridad que nadie quiere admitir: la de una credencial que alguien creó para un piloto hace años, que nunca fue revocada, y que se convirtió en la llave maestra para hackear a varias de las empresas más importantes de ciberseguridad del mundo.
Eso es exactamente lo que pasó con Klue.
La empresa de investigación de mercado de Vancouver confirmó que una credencial de 2022, parte de un “piloto limitado” con un tercero, fue usada por hackers el 12 de junio para acceder a tokens OAuth —las llaves que permiten entrar a los datos de clientes almacenados en Salesforce y otras nubes.
Los clientes afectados incluyen a LastPass, HackerOne, Recorded Future y Tanium: todas empresas de ciberseguridad.
Lo que Klue no explicó es lo más preocupante: no dijo cuál era el propósito del piloto, cuánto duró, quién era el tercero, ni por qué la credencial no fue revocada después. La empresa se limitó a declarar que está “revisando sus procesos de gestión de credenciales”.
LastPass notificó a sus clientes que los hackers robaron nombres, teléfonos, emails, direcciones físicas y datos de soporte al cliente. La empresa tiene más de 33 millones de usuarios y 1.6 millones de clientes pagantes. Las bóvedas de contraseñas no se vieron afectadas, pero los datos de soporte pueden contener información sensible —credenciales, documentos de identidad, datos de facturación— que los usuarios comparten cuando contactan atención al cliente.
Esto no es nuevo para LastPass. En 2022, hackers robaron todas las bóvedas cifradas de contraseñas, descifrando las que usaban contraseñas débiles y robando criptomonedas por millones. Ahora, el golpe viene de un tercero que no supo gestionar sus credenciales.
El grupo de hackers Icarus se atribuyó el ataque y amenazó con publicar los datos si no recibe rescate. Klue no ha confirmado cuántos clientes se vieron afectados ni si ha contactado a los atacantes. La investigación continúa.
El problema real no es Klue ni LastPass: es el modelo de confianza en cadena de suministro. Cuando una empresa de ciberseguridad confía en los tokens OAuth de un tercero para acceder a datos de clientes, está apostando su reputación a que ese tercero gestione bien sus credenciales.
Y como demostró Klue, a veces una credencial de 2022 se queda olvidada mientras el mundo entero confía en que todo está bajo control.
