LastPass dice que los hackers robaron datos de clientes a través de una violación de la cadena de suministro en Klue.

      TL;DRLos nombres de clientes, correos electrónicos, números de teléfono y datos de casos de soporte de LastPass fueron robados después de que los hackers vulneraran al proveedor Klue y utilizaran tokens de OAuth para acceder a Salesforce.

      LastPass está notificando a los clientes que su información personal y los datos de casos de soporte al cliente fueron robados después de que los hackers vulneraran a Klue, un proveedor de inteligencia competitiva que tenía tokens de OAuth que otorgaban acceso al entorno de Salesforce de LastPass. La violación no comprometió la infraestructura propia de LastPass ni las bóvedas de contraseñas encriptadas de sus clientes. Los datos robados incluyen nombres, números de teléfono, direcciones de correo electrónico, direcciones físicas y el contenido de las interacciones de soporte al cliente.

      Klue divulgó la violación el 12 de junio, cuando el CEO Jason Smith confirmó que los atacantes habían obtenido acceso a los tokens de OAuth que la empresa tenía en nombre de sus clientes. Esos tokens proporcionaron acceso autenticado a los entornos de Salesforce donde empresas como LastPass almacenan datos de relaciones con clientes y soporte. Los hackers utilizaron los tokens robados para extraer registros de múltiples organizaciones simultáneamente.

      Un grupo de hacking y extorsión llamado Icarus se atribuyó la responsabilidad del ataque, amenazando con publicar los datos robados a menos que las empresas afectadas pagaran un rescate. LastPass no ha revelado cuántos clientes se vieron afectados, pero dijo que está notificando a aquellos cuya información fue comprometida. La empresa tiene aproximadamente 33 millones de usuarios y más de un millón de clientes de pago según sus cifras públicas más recientes.

      LastPass no es la única empresa afectada. Los ataques a la cadena de suministro se han convertido en una de las amenazas cibernéticas definitorias de 2026, y la violación de Klue siguió el mismo patrón: en lugar de atacar directamente al objetivo, los hackers comprometieron a un proveedor de terceros de confianza que tenía credenciales de acceso. Otras empresas afectadas por la violación de Klue incluyen HackerOne, Recorded Future, Tanium, Gong, Jamf, Snyk, OneTrust, Sprout Social y Huntress.

      El incidente es particularmente dañino para LastPass debido a la historia de la empresa. En 2022, los hackers vulneraron LastPass directamente y robaron toda la tienda de bóvedas de contraseñas de clientes, y los investigadores de seguridad confirmaron más tarde que algunas bóvedas con contraseñas maestras débiles fueron crackeadas fuera de línea, con credenciales robadas vinculadas a robos de criptomonedas que superan los 150 millones de dólares. Esa violación erosionó la confianza en la empresa y provocó una ola de clientes que cambiaron a competidores.

      Esta vez, LastPass enfatizó que sus propios sistemas no fueron comprometidos y que las bóvedas de contraseñas encriptadas no fueron accedidas. La distinción es importante, pero puede ofrecer un consuelo limitado a los clientes cuyos detalles personales y contenidos de casos de soporte ahora están en manos de un grupo de extorsión. Los casos de soporte pueden contener contexto sensible sobre problemas de cuentas, preocupaciones de seguridad y detalles de facturación que los usuarios compartieron esperando confidencialidad.

      La violación destaca una vulnerabilidad estructural en cómo las empresas gestionan el acceso de proveedores de terceros. Los tokens de OAuth están diseñados para otorgar acceso limitado y revocable a recursos específicos sin compartir contraseñas, pero cuando un proveedor como Klue tiene tokens para docenas de clientes empresariales, comprometer a ese único proveedor otorga acceso a todos ellos a la vez. La superficie de ataque no es la postura de seguridad de la empresa objetivo, sino la postura de seguridad de cada proveedor en su cadena de suministro.

      El papel de Klue como plataforma de inteligencia competitiva significa que ingiere rutinariamente datos de los sistemas de ventas y marketing de los clientes para proporcionar análisis de mercado y seguimiento de competidores. Ese modelo de negocio requiere integraciones profundas con plataformas de CRM como Salesforce, que es precisamente lo que hizo que los tokens de OAuth robados fueran tan valiosos para los atacantes.

      La industria de los administradores de contraseñas ha enfrentado incidentes de seguridad repetidos en 2026, con Dashlane divulgando en junio que los atacantes forzaron su sistema de autenticación de dos factores y descargaron bóvedas encriptadas de menos de 20 cuentas. El patrón sugiere que las empresas responsables de almacenar las credenciales más sensibles de los usuarios siguen siendo objetivos de alto valor, ya sea a través de ataques directos o a través de los proveedores de los que dependen.

      LastPass dijo que ha revocado los tokens de OAuth comprometidos, está trabajando con Klue en la remediación y ha contratado investigadores forenses de terceros. La empresa aconsejó a los clientes afectados que estén alerta ante intentos de phishing que utilicen la información personal robada para crear mensajes convincentes. Los clientes que contactaron al soporte de LastPass y compartieron detalles sensibles en esas interacciones deben tratar esa información como potencialmente expuesta.

      Las demandas de rescate del grupo Icarus añaden una dimensión de extorsión a lo que de otro modo sería un robo de datos convencional. Si el grupo cumple con su amenaza de publicar los datos, los clientes afectados en todas las empresas golpeadas por la violación de Klue podrían enfrentar robo de identidad, phishing dirigido y ataques de ingeniería social basados en los detalles específicos encontrados en sus registros de soporte e interacciones de ventas.