{"id":1245,"date":"2026-06-19T10:21:50","date_gmt":"2026-06-19T10:21:50","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/salesforce-deshabilita-la-integracion-de-la-aplicacion-klue-despues-de-que-el-abuso-del-token-oauth-exponga-los-datos-del-cliente\/"},"modified":"2026-06-19T10:21:50","modified_gmt":"2026-06-19T10:21:50","slug":"salesforce-deshabilita-la-integracion-de-la-aplicacion-klue-despues-de-que-el-abuso-del-token-oauth-exponga-los-datos-del-cliente","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/06\/19\/salesforce-deshabilita-la-integracion-de-la-aplicacion-klue-despues-de-que-el-abuso-del-token-oauth-exponga-los-datos-del-cliente\/","title":{"rendered":"Salesforce deshabilita la integraci\u00f3n de la aplicaci\u00f3n Klue despu\u00e9s de que el abuso del token OAuth exponga los datos del cliente"},"content":{"rendered":"
\n

Salesforce revel\u00f3 que deshabilit\u00f3 la integraci\u00f3n de la aplicaci\u00f3n Klue Battlecards dentro de su plataforma en respuesta a un incidente de seguridad que afect\u00f3 a la empresa de inteligencia competitiva el 11 de junio de 2026.<\/p>\n

Con ese fin, las organizaciones no podr\u00e1n conectarse a Salesforce a trav\u00e9s de la aplicaci\u00f3n hasta nuevo aviso, se\u00f1al\u00f3 la compa\u00f1\u00eda estadounidense de software basado en la nube en una alerta publicada esta semana.<\/p>\n

\u00abSalesforce tom\u00f3 esta acci\u00f3n porque nuestros equipos de seguridad detectaron recientemente una actividad inusual relacionada con la aplicaci\u00f3n que puede haber resultado en un acceso no autorizado a un subconjunto de datos del cliente a trav\u00e9s de la conexi\u00f3n de la aplicaci\u00f3n a Salesforce\u00bb, anotado<\/a>. \u00abEste problema se limita a la conexi\u00f3n de la aplicaci\u00f3n de Klue y no surge de una vulnerabilidad dentro de la plataforma Salesforce\u00bb.<\/p>\n

El desarrollo se produce cuando un grupo de extorsi\u00f3n denominado Icarus comprometi\u00f3 y exfiltr\u00f3 datos de los clientes de Klue, incluida la empresa de ciberseguridad Huntress.<\/p>\n

\u00abLos datos que se copiaron de nuestra cuenta de Salesforce incluyen contactos comerciales, cotizaciones de precios y otros datos y mensajes relacionados con las ventas\u00bb, Huntress dicho<\/a>. \u00abNing\u00fan dato de amenazas, contrase\u00f1as, informaci\u00f3n de tarjetas de pago o datos de ingenier\u00eda relacionados con el agente Huntress o la telemetr\u00eda que recopilamos se vieron afectados\u00bb.<\/p>\n

En su propia actualizaci\u00f3n, Klue dijo que detect\u00f3 actividad no autorizada que afect\u00f3 una parte de la infraestructura de integraci\u00f3n de Klue el 12 de junio de 2026, y agreg\u00f3 que los atacantes obtuvieron acceso a trav\u00e9s de una credencial heredada comprometida asociada con un servicio de integraci\u00f3n.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEl atacante utiliz\u00f3 ese acceso para obtener tokens OAuth utilizados para conectar Klue con ciertas plataformas de terceros, incluido Salesforce, y posteriormente accedi\u00f3 a datos dentro de varios entornos de clientes conectados\u00bb, dijo Jason Smith, director ejecutivo de Klue. dicho<\/a>. \u00abSeg\u00fan nuestra investigaci\u00f3n hasta la fecha, el incidente se limit\u00f3 a las plataformas de terceros afectadas y no hay evidencia de que el contenido del cliente almacenado dentro de la plataforma Klue se haya visto afectado\u00bb.<\/p>\n

Espec\u00edficamente, se dice que la intrusi\u00f3n permiti\u00f3 al actor de amenazas impulsar una actualizaci\u00f3n de c\u00f3digo capaz de recopilar tokens OAuth que sus clientes utilizan para conectar Klue a sus propios sistemas. En respuesta a la infracci\u00f3n, Klue tom\u00f3 medidas para revocar las credenciales y tokens afectados, eliminar el c\u00f3digo no autorizado, detener el acceso remoto, desactivar las integraciones potencialmente afectadas e iniciar una investigaci\u00f3n exhaustiva.<\/p>\n

A partir del 16 de junio de 2026, algunos de los empleados de Huntress recibieron un correo electr\u00f3nico con el asunto \u00abcorreo electr\u00f3nico ultrasecreto\u00bb y una advertencia que dice: \u00abSus datos de Salesforce han sido descargados\u2026 Tiene 48 horas para comunicarse con nosotros. Tome la decisi\u00f3n correcta\u00bb.<\/p>\n

\u00abEl actor de la amenaza parece haber aprovechado una credencial en desuso durante mucho tiempo pero a\u00fan activa para llevar a cabo el compromiso inicial, una que fue creada originalmente por Klue para que crearan un prototipo de una integraci\u00f3n de terceros que luego abandonaron\u00bb, dijo la compa\u00f1\u00eda. \u00abEl actor de amenazas luego ingres\u00f3 a la infraestructura de Klue para robar los tokens utilizados por los clientes de Klue, luego us\u00f3 esas credenciales robadas para consultar las herramientas CRM de esos clientes directamente y, eventualmente, exfiltrar los datos\u00bb.<\/p>\n

No se sabe mucho sobre el actor de \u00cdcaro aparte del hecho de que ha estado activo desde el 28 de abril de 2026 y ha reclamado un total de dos v\u00edctimas hasta la fecha. Dicho esto, la campa\u00f1a de robo de datos refleja oleadas de ataques anteriores montados por ShinyHunters y UNC6395.<\/p>\n

ReliaQuest, en su propio an\u00e1lisis del abuso de integraci\u00f3n de Klue, dijo que la actividad comparte similitudes con el manual de estrategias de abuso de OAuth de terceros asociado con el Los compromisos de Salesloft Drift y Gainsight que se dirigieron a los entornos de Salesforce el a\u00f1o pasado.<\/a><\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abEn los ataques que observamos, el adversario primero se autentic\u00f3 a trav\u00e9s de una cuenta de servicio de integraci\u00f3n Klue comprometida, gener\u00f3 tokens OAuth y ejecut\u00f3 scripts Python automatizados (identificables por cadenas de agente de usuario Python-urllib)\u00bb, los investigadores de ReliaQuest Thassanai McCabe y Alexa Feminella. dicho<\/a>.<\/p>\n

\u00abEstos scripts primero enumeraron el cat\u00e1logo de objetos de la organizaci\u00f3n a trav\u00e9s de GET \/services\/data\/v59.0\/sobjects, luego realizaron un bucle de consultas de API REST contra el punto final de consulta de Salesforce (\/services\/data\/v59.0\/query) y paginaron los resultados a trav\u00e9s del cursor QueryMore durante casi 24 horas\u00bb.<\/p>\n

Se considera que son acciones de recuperaci\u00f3n masiva de datos dise\u00f1adas para extraer grandes vol\u00famenes de registros de CRM a trav\u00e9s de la API REST de Salesforce. Esto incluy\u00f3 una \u00abr\u00e1faga concentrada\u00bb de casi mil consultas en 15 minutos contra al menos un entorno y una ventana de extracci\u00f3n que dur\u00f3 m\u00e1s de seis horas en otro caso.<\/p>\n

No est\u00e1 claro cu\u00e1ntos clientes de Salesforce se vieron afectados por los \u00faltimos ataques, aunque Klue dijo que se ha estado comunicando directamente con los clientes afectados, compartiendo hallazgos de investigaci\u00f3n y ayud\u00e1ndolos con sus esfuerzos de respuesta.<\/p>\n

\u00abEl hilo com\u00fan es el abuso de tokens o credenciales de OAuth de un proveedor externo confiable\u00bb, dijo ReliaQuest. \u00abEstas integraciones son identidades no humanas con acceso persistente y a menudo amplio a datos confidenciales, pero normalmente se monitorean mucho menos estrechamente que las cuentas de los empleados. Esa brecha es la raz\u00f3n por la cual se podr\u00eda ejecutar un ciclo de consulta automatizado de 24 horas desde una cuenta de integraci\u00f3n ‘confiable’ sin activar las alarmas habituales\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Salesforce revel\u00f3 que deshabilit\u00f3 la integraci\u00f3n de la aplicaci\u00f3n Klue Battlecards dentro de su plataforma en respuesta a un incidente de seguridad que afect\u00f3 a la empresa de inteligencia competitiva el 11 de junio de 2026. Con ese fin, las organizaciones no podr\u00e1n conectarse a Salesforce a trav\u00e9s de la aplicaci\u00f3n hasta nuevo aviso, se\u00f1al\u00f3 […]<\/p>\n","protected":false},"author":1,"featured_media":752,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[358,1116,2218,627,70,3200,261,3203,3201,3202,52,360,668,1417],"class_list":["post-1245","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-abuso","tag-aplicacion","tag-cliente","tag-datos","tag-del","tag-deshabilita","tag-despues","tag-exponga","tag-integracion","tag-klue","tag-los","tag-oauth","tag-salesforce","tag-token"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1245","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=1245"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/1245\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/752"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=1245"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=1245"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=1245"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}