Introducción
A principios de junio de 2026, nueve empresas especializadas en ciberseguridad descubrieron que sus datos comerciales almacenados en Salesforce habían sido exfiltrados. No por una vulnerabilidad del propio CRM, sino a través de una aplicación SaaS de terceros que sus equipos de ventas utilizaban a diario para hacer inteligencia competitiva.
Klue, plataforma canadiense de market intelligence, fue el eslabón de la cadena que cedió. Sus clientes Gong, Jamf, HackerOne, Insurity, OneTrust, Recorded Future, Snyk, Sprout Social y Tanium encontraron sus datos en el punto de mira del grupo de extorsión Icarus.
Una credencial olvidada, un acceso persistente
El acceso inicial se obtuvo a través de una credencial inactiva: una cuenta creada por Klue para prototipar una integración con un tercero que nunca llegó a finalizarse, pero que tampoco fue revocada. Desde ahí, los atacantes infiltraron la infraestructura backend de la plataforma e introdujeron una actualización de código malicioso capaz de recopilar los tokens OAuth que los clientes utilizaban para conectar Klue con su instancia de Salesforce.
Esos tokens bastaron para consultar directamente los CRM de las víctimas a través de la API REST de Salesforce. El método de exfiltración revela una operación planificada: una fase de reconocimiento lenta para cartografiar los objetos Salesforce disponibles, seguida de una aceleración repentina —cerca de un millar de solicitudes en quince minutos— para absorber el máximo volumen de datos antes de ser detectados.
Las integraciones SaaS, nuevo vector sistémico
Lo que el caso Klue pone de manifiesto no es tanto la sofisticación técnica del ataque como la lógica del vector elegido. Icarus no intentó comprometer Salesforce directamente: el grupo apuntó a una aplicación de negocio periférica, orientada a equipos de Ventas y Marketing, para llegar desde ahí a los CRM de sus grandes clientes.
Este patrón se inscribe en una tendencia más amplia. Compromisos similares ya habían afectado a entornos Salesforce a través de las aplicaciones Salesloft Drift y Gainsight en 2025. De hecho, Klue suspendió de urgencia sus integraciones con alrededor de una decena de plataformas —HubSpot, SharePoint, Zoom, Gong, Chorus, Clari, Google Drive, Slack—, revelando la magnitud de un ecosistema conectado que representa otros tantos perímetros potencialmente expuestos.
Activos comerciales, un objetivo rentable
Los datos exfiltrados no son datos personales en el sentido habitual del término: son activos de negocio —contactos de clientes, presupuestos, oportunidades de venta, historiales de comunicación, informes de inteligencia competitiva—. Para un grupo de extorsión, su valor es inmediato y tangible.
Activo desde abril de 2026, Icarus se ha especializado en este tipo de operaciones: atacar información comercial sensible y amenazar con publicarla para presionar a las víctimas a pagar. Las empresas afectadas confirmaron el incidente y notificaron a sus clientes expuestos. Salesforce reaccionó desactivando la integración Klue Battlecards en su marketplace de aplicaciones.
Lo que esto exige a los equipos de TI
El incidente plantea preguntas directas a CIOs y CISOs: ¿quién audita regularmente los tokens OAuth concedidos a aplicaciones de terceros? ¿Quién verifica que una credencial creada para un proyecto experimental abandonado siga activa?
La gestión del ciclo de vida de las integraciones —revocación de accesos obsoletos, limitación de permisos OAuth, detección de llamadas API anómalas— se ha convertido en una disciplina de seguridad por derecho propio, más allá de la simple higiene informática. Para los propios proveedores SaaS, el caso es un recordatorio de una responsabilidad simétrica: el código de integración que despliegan en el entorno de sus clientes puede convertirse en un vector de ataque contra esos mismos clientes.