AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

Más de una docena de empresas confirman robo de datos en Salesforce tras incidente con Klue

admin

Introducción

El ecosistema SaaS vuelve a estar en el punto de mira tras la confirmación de un incidente de seguridad que ha impactado a más de una docena de clientes de Klue, una plataforma de inteligencia competitiva y de mercado. Entre las organizaciones afectadas se encuentran nombres tan reconocidos como BeyondTrust y LastPass. Los atacantes lograron acceder de manera no autorizada a datos almacenados en instancias de Salesforce pertenecientes a estos clientes, lo que ha elevado la preocupación sobre la seguridad de las integraciones entre proveedores SaaS y la gestión de identidades y accesos en plataformas críticas.

Contexto del Incidente

El incidente fue detectado cuando varios clientes de Klue comenzaron a reportar actividades anómalas en sus instancias de Salesforce. Las primeras investigaciones revelaron que los atacantes explotaron integraciones legítimas entre Klue y Salesforce para obtener credenciales de acceso y exfiltrar información confidencial. Klue es ampliamente utilizada por empresas que buscan monitorizar la competencia y centralizar inteligencia de mercado, integrándose de forma nativa con Salesforce para sincronizar datos sensibles de clientes y oportunidades comerciales.

La cadena de suministro SaaS, y en particular el uso compartido de accesos API, ha sido un vector de ataque recurrente en 2023 y 2024, con un aumento del 32% en incidentes relacionados, según datos del último informe de Cloud Security Alliance. La entrada de actores maliciosos a través de integraciones de terceros subraya la necesidad de un enfoque Zero Trust y segmentación de privilegios en las plataformas SaaS.

Detalles Técnicos

El ataque aprovechó credenciales OAuth comprometidas asociadas a la integración entre Klue y los entornos de Salesforce de los clientes. Aunque no se ha publicado un CVE específico, el vector coincide con tácticas y técnicas recogidas en MITRE ATT&CK bajo la categoría TA0001 (Initial Access) y la técnica T1078 (Valid Accounts), además del abuso de API (T1136.003 – Create Cloud Account).

Según los IoC compartidos por las empresas afectadas, los atacantes generaron sesiones autenticadas a través de tokens válidos para acceder y extraer datos sensibles. No se ha identificado aún el uso de frameworks de explotación pública como Metasploit o Cobalt Strike en la fase inicial, pero sí se han observado scripts personalizados y automatización para la enumeración y exfiltración masiva de datos. Los registros de Salesforce muestran patrones de acceso no habitual, incluyendo solicitudes desde direcciones IP fuera de los rangos habituales de las organizaciones.

Impacto y Riesgos

El impacto del incidente es significativo, dado el tipo de información almacenada en Salesforce: datos personales de clientes, historiales de oportunidades comerciales, estrategias de mercado y documentación confidencial. BeyondTrust y LastPass, ambos proveedores de soluciones críticas de ciberseguridad y gestión de contraseñas, han confirmado que parte de sus datos han sido accedidos, aunque aseguran que las contraseñas maestras y los datos cifrados de usuarios no se han visto comprometidos.

La exposición de estos datos puede facilitar campañas de phishing dirigidas, ingeniería social avanzada y suplantación de identidad (BEC). Además, la exfiltración de inteligencia competitiva puede suponer un riesgo estratégico y económico para las empresas implicadas. El incidente podría tener repercusiones regulatorias bajo el marco GDPR y la Directiva NIS2, especialmente si se confirma el acceso a datos personales de ciudadanos de la UE.

Medidas de Mitigación y Recomendaciones

Klue y Salesforce recomiendan a los clientes afectados revocar y regenerar todos los tokens de integración OAuth, revisar los permisos concedidos a aplicaciones de terceros y activar el registro detallado de accesos (audit logs). Es fundamental implementar políticas de mínimo privilegio, segmentar los accesos API y activar alertas de comportamiento anómalo en las plataformas SaaS.

Se aconseja realizar una revisión exhaustiva de los logs de Salesforce y de las integraciones para identificar accesos sospechosos, así como desplegar soluciones de CASB (Cloud Access Security Broker) y EDR (Endpoint Detection & Response) orientadas a entornos cloud. En el caso de estar sujetos a GDPR o NIS2, se recomienda notificar a las autoridades competentes y a los afectados dentro de los plazos legales.

Opinión de Expertos

Expertos en ciberseguridad consultados coinciden en que este incidente pone de manifiesto la creciente superficie de ataque asociada a las integraciones SaaS y la necesidad de controles de seguridad más robustos entre proveedores. “El abuso de credenciales OAuth es un vector cada vez más explotado, porque permite el acceso persistente y discreto a activos críticos”, señala un analista del CERT español. Además, se advierte de que los atacantes están priorizando ataques a la cadena de suministro SaaS por el elevado retorno y la dificultad de detección inicial.

Implicaciones para Empresas y Usuarios

Para las empresas, este incidente resalta la importancia de auditar y monitorizar todas las integraciones SaaS, así como de revisar periódicamente los permisos concedidos a aplicaciones de terceros. Los usuarios finales deben ser informados sobre el posible compromiso de sus datos y reforzar medidas de seguridad, como la autenticación multifactor y la revisión de contraseñas.

Las organizaciones deben considerar la segmentación de datos y la aplicación de cifrado extremo a extremo en las integraciones SaaS más críticas, además de incluir cláusulas de seguridad y notificación temprana en los acuerdos con proveedores.

Conclusiones

El incidente que ha afectado a BeyondTrust, LastPass y otros clientes de Klue a través de integraciones con Salesforce subraya la necesidad de una gestión más rigurosa de los accesos y permisos en el ecosistema SaaS. La cadena de suministro digital sigue siendo un vector prioritario para los atacantes y obliga a empresas y proveedores a elevar el nivel de madurez en ciberseguridad, especialmente ante un marco regulatorio cada vez más exigente.

(Fuente: www.securityweek.com)