Salesforce reveló que deshabilitó la integración de la aplicación Klue Battlecards dentro de su plataforma en respuesta a un incidente de seguridad que afectó a la empresa de inteligencia competitiva el 11 de junio de 2026.
Con ese fin, las organizaciones no podrán conectarse a Salesforce a través de la aplicación hasta nuevo aviso, señaló la compañía estadounidense de software basado en la nube en una alerta publicada esta semana.
“Salesforce tomó esta acción porque nuestros equipos de seguridad detectaron recientemente una actividad inusual relacionada con la aplicación que puede haber resultado en un acceso no autorizado a un subconjunto de datos de clientes a través de la conexión de la aplicación a Salesforce”, señaló. “Este problema se limita a la conexión de la aplicación de Klue y no surge de una vulnerabilidad dentro de la plataforma Salesforce”.
El desarrollo se produce cuando un grupo de extorsión denominado Icarus comprometió y exfiltró datos de los clientes de Klue, incluida la empresa de ciberseguridad Huntress.
“Los datos que se copiaron de nuestra cuenta de Salesforce incluyen contactos comerciales, cotizaciones de precios y otros datos y mensajes relacionados con las ventas”, dijo Huntress. “Ningún dato de amenazas, contraseñas, información de tarjetas de pago o datos de ingeniería relacionados con el agente Huntress o la telemetría que recopilamos se vieron afectados”.
En su propia actualización, Klue dijo que detectó actividad no autorizada que afectó una parte de la infraestructura de integración de Klue el 12 de junio de 2026, y agregó que los atacantes obtuvieron acceso a través de una credencial heredada comprometida asociada con un servicio de integración.
“El atacante utilizó ese acceso para obtener tokens OAuth utilizados para conectar Klue con ciertas plataformas de terceros, incluido Salesforce, y posteriormente accedió a datos dentro de varios entornos de clientes conectados”, dijo Jason Smith, director ejecutivo de Klue. “Según nuestra investigación hasta la fecha, el incidente se limitó a las plataformas de terceros afectadas y no hay evidencia de que el contenido del cliente almacenado dentro de la plataforma Klue se haya visto afectado”.
Específicamente, se dice que la intrusión permitió al actor de amenazas impulsar una actualización de código capaz de recopilar tokens OAuth que sus clientes utilizan para conectar Klue a sus propios sistemas. En respuesta a la infracción, Klue tomó medidas para revocar las credenciales y tokens afectados, eliminar el código no autorizado, detener el acceso remoto, desactivar las integraciones potencialmente afectadas e iniciar una investigación exhaustiva.
A partir del 16 de junio de 2026, algunos de los empleados de Huntress recibieron un correo electrónico con el asunto “correo electrónico ultrasecreto” y una advertencia que dice: “Sus datos de Salesforce han sido descargados… Tiene 48 horas para comunicarse con nosotros. Tome la decisión correcta”.
“El actor de la amenaza parece haber aprovechado una credencial en desuso durante mucho tiempo pero aún activa para llevar a cabo el compromiso inicial, una que fue creada originalmente por Klue para que crearan un prototipo de una integración de terceros que luego abandonaron”, dijo la compañía. “El actor de amenazas luego ingresó a la infraestructura de Klue para robar los tokens utilizados por los clientes de Klue, luego usó esas credenciales robadas para consultar las herramientas CRM de esos clientes directamente y, eventualmente, exfiltrar los datos”.
No se sabe mucho sobre el actor de Ícaro aparte del hecho de que ha estado activo desde el 28 de abril de 2026 y ha reclamado un total de dos víctimas hasta la fecha. Dicho esto, la campaña de robo de datos refleja oleadas de ataques anteriores montados por ShinyHunters y UNC6395.
ReliaQuest, en su propio análisis del abuso de integración de Klue, dijo que la actividad comparte similitudes con el manual de abuso de OAuth de terceros asociado con los compromisos Salesloft Drift y Gainsight que apuntaron a entornos de Salesforce el año pasado.
“En los ataques que observamos, el adversario primero se autenticó a través de una cuenta de servicio de integración Klue comprometida, generó tokens OAuth y ejecutó scripts Python automatizados (identificables por cadenas de usuario-agente Python-urllib)”, dijeron los investigadores de ReliaQuest Thassanai McCabe y Alexa Feminella.
“Estos scripts primero enumeraron el catálogo de objetos de la organización a través de GET /services/data/v59.0/sobjects, luego realizaron un bucle de consultas de API REST contra el punto final de consulta de Salesforce (/services/data/v59.0/query) y paginaron los resultados a través del cursor QueryMore durante casi 24 horas”.
Se considera que son acciones de recuperación masiva de datos diseñadas para extraer grandes volúmenes de registros de CRM a través de la API REST de Salesforce. Esto incluyó una “ráfaga concentrada” de casi mil consultas en 15 minutos contra al menos un entorno y una ventana de extracción que duró más de seis horas en otro caso.
No está claro cuántos clientes de Salesforce se vieron afectados por los últimos ataques, aunque Klue dijo que se ha estado comunicando directamente con los clientes afectados, compartiendo hallazgos de investigación y ayudándolos con sus esfuerzos de respuesta.
“El hilo común es el abuso de tokens o credenciales de OAuth de un proveedor externo confiable”, dijo ReliaQuest. “Estas integraciones son identidades no humanas con acceso persistente y a menudo amplio a datos confidenciales, pero normalmente se monitorean mucho menos estrechamente que las cuentas de los empleados. Esa brecha es la razón por la cual se podría ejecutar un ciclo de consulta automatizado de 24 horas desde una cuenta de integración ‘confiable’ sin activar las alarmas habituales”.
