Un grupo de hackers comprometió los sistemas de Klue, proveedor de inteligencia de mercado con sede en Vancouver, robando información de varios de sus clientes corporativos, incluidas algunas de las empresas de ciberseguridad más importantes del mundo, según confirmó la compañía el viernes. El grupo cibercriminal Icarus se atribuyó el ataque y amenazó con publicar los datos robados si la empresa no paga un rescate antes del lunes.
Klue, empresa canadiense que permite a las compañías realizar investigaciones de mercado conectando sus datos a sus sistemas, informó que los hackers robaron información de un número no especificado de sus clientes durante un ciberataque ocurrido el 12 de junio, según declaró la compañía en un comunicado publicado en su blog que incluye código para evitar que los motores de búsqueda indexen la página.
El grupo cibercriminal Icarus reivindicó la responsabilidad del ataque en su sitio de filtraciones, donde anunció que publicará los datos robados el lunes si la empresa no cumple con su demanda de rescate, según reportó TechCrunch.
Aunque Klue no ha revelado cuántos de sus cientos de clientes resultaron afectados, al menos nueve empresas han confirmado públicamente que sus datos fueron comprometidos durante el ataque: Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social y Tanium, según las declaraciones de estas compañías.
**Método del ataque y datos comprometidos**
Los hackers obtuvieron acceso a los sistemas de Klue utilizando una "credencial heredada comprometida", como una contraseña o token, asociada con una herramienta de integración que permite a los clientes vincular los datos en la nube de sus empresas con sus cuentas de Klue, según explicó la compañía.
Los atacantes lograron robar datos de las nubes de los clientes de Klue, incluidas bases de datos de Salesforce, según la información proporcionada por la empresa. Las compañías frecuentemente almacenan información personal de sus clientes en bases de datos de Salesforce, lo que las convierte en objetivos prioritarios para los ciberdelincuentes.
La mayor parte de los datos robados incluye información de contacto empresarial, como nombres, direcciones de correo electrónico, números de teléfono, títulos de trabajo y cierta información de cuentas de los clientes de las empresas afectadas, según confirmaron las diversas compañías impactadas.
**Patrón de ataques a proveedores intermediarios**
Este incidente representa el más reciente de una serie de ciberataques a gran escala en los que los hackers apuntan a empresas que poseen las claves de acceso a las bases de datos en la nube de otras compañías, según el análisis de TechCrunch. Al vulnerar firmas como Klue, los hackers apuestan a que comprometer un único punto de fallo les permitirá robar datos de un gran número de organizaciones simultáneamente.
Durante el último año, los hackers han atacado cada vez más a proveedores intermediarios similares, incluidos Gainsight y Salesloft, para obtener acceso a los datos de cientos de empresas, según el reporte.
**Interrogantes sobre la seguridad**
No está claro cómo los hackers adquirieron las credenciales comprometidas ni por qué Klue no detectó el robo antes, según TechCrunch. Ataques masivos recientes similares que involucraron el compromiso y uso indebido de credenciales, como los ocurridos en Snowflake y TanStack, han sido vinculados a empleados que inadvertidamente instalaron malware que roba contraseñas en los dispositivos que utilizan para trabajar.
Klue informó que ha contratado a la firma de respuesta a incidentes CrowdStrike y ha desconectado sus integraciones para prevenir mayor acceso a los datos de los clientes, según el comunicado de la compañía.
Huntress, una de las empresas de seguridad que tuvo sus datos robados en el hackeo, dijo en su análisis del incidente que los hackers la contactaron con una nota de rescate utilizando la dirección de correo electrónico de una empresa australiana, cuyos servidores probablemente fueron utilizados indebidamente para la campaña, según el reporte de Huntress.
**Contexto corporativo y respuesta**
El director ejecutivo de Klue, Jason Smith, no respondió de inmediato a una solicitud de comentarios de TechCrunch el lunes, ni contestó preguntas sobre el incidente, incluido si la empresa ha recibido alguna comunicación de los hackers, como una demanda de rescate, según el medio.
En junio del año pasado, Klue anunció que se preparaba para despedir a aproximadamente la mitad de su personal, alrededor de 100 personas, mientras duplicaba sus inversiones en inteligencia artificial, según declaró la compañía en ese momento. No está claro si la reducción de personal condujo a fallas en la seguridad de la empresa.
Actualmente, Klue no enumera a ninguna persona responsable de la ciberseguridad en su página de liderazgo ejecutivo, según la información disponible en su sitio web. No está claro quién, además de Smith, es responsable de la ciberseguridad en la compañía.
**Implicaciones y desarrollos esperados**
El ataque a Klue subraya la creciente vulnerabilidad de las empresas que actúan como intermediarias en el ecosistema de datos corporativos. La estrategia de los ciberdelincuentes de atacar un único proveedor para comprometer múltiples organizaciones simultáneamente representa una amenaza significativa para la seguridad empresarial, particularmente cuando las víctimas incluyen firmas especializadas en ciberseguridad.
La fecha límite del lunes establecida por el grupo Icarus para publicar los datos robados añade presión sobre Klue y las empresas afectadas. Si los hackers cumplen su amenaza, podría exponerse información sensible de contactos empresariales de múltiples organizaciones, con potenciales consecuencias para campañas de phishing dirigidas y otros ataques cibernéticos secundarios.
El incidente también plantea preguntas sobre las prácticas de seguridad en empresas que manejan integraciones con datos sensibles de múltiples clientes corporativos, especialmente en un contexto de reducciones de personal que podrían afectar la capacidad de monitoreo y respuesta ante amenazas.