LastPass ha confirmado otra filtración de datos, esta vez a través de un proveedor de servicios externo comprometido. Los atacantes utilizaron tokens OAuth robados de Klue, una plataforma de inteligencia de mercado, para acceder al entorno Salesforce de LastPass y extraer información de contacto de los clientes.
Esta filtración es la última de un historial de seguridad problemático para el gestor de contraseñas, que sufrió un gran incidente en 2022 que expuso bóvedas cifradas y desde entonces ha enfrentado multas regulatorias.
Lo que sucedió
El grupo de extorsión conocido como Icarus comprometió los sistemas backend de Klue alrededor del 12 de junio de 2026, distribuyendo una actualización maliciosa que recolectó tokens OAuth. Usando esos tokens, los atacantes consultaron entornos Salesforce para copiar datos CRM pertenecientes a LastPass y otros clientes de Klue.
LastPass indicó que los datos expuestos incluyen nombres de clientes, números de teléfono, direcciones de correo electrónico, direcciones físicas, registros de casos de soporte e información relacionada con ventas. La empresa enfatizó que los productos, servicios, infraestructura y bóvedas de contraseñas de los clientes de LastPass no se vieron afectados. Las contraseñas maestras y el contenido de las bóvedas cifradas permanecen seguros.
Klue notificó a los clientes sobre la actividad no autorizada el 12 de junio. Después de que Salesforce desactivara la integración de Klue Battlecards el 17 de junio, LastPass publicó su divulgación el 23 de junio, tras haber rotado los tokens expuestos, cancelado el acceso de los empleados a Klue y notificado a las autoridades.
Qué tener en cuenta
La información de contacto expuesta crea riesgos de phishing e ingeniería social. Los atacantes pueden utilizar registros CRM para elaborar mensajes convincentes que parezcan provenir de LastPass. La empresa reiteró que su personal nunca solicitará una contraseña maestra.
El incidente de Klue subraya una vulnerabilidad creciente: los tokens OAuth diseñados para permitir que las aplicaciones compartan datos sin problemas se convierten en vectores de ataque cuando un servicio externo que posee esos tokens se ve comprometido. Los investigadores de seguridad recomiendan que las empresas revisen qué aplicaciones tienen acceso a los datos CRM, revoquen conexiones no utilizadas, roten los tokens inmediatamente después de incidentes de proveedores y supervisen la actividad de API en busca de exportaciones de datos inusuales.
Otras noticias de seguridad esta semana
El exasesor de Seguridad Nacional de Estados Unidos, John Bolton, se declaró culpable el 26 de junio de un cargo de retención ilegal de información clasificada, resolviendo una acusación de 18 cargos. Según el acuerdo, Bolton enfrenta una multa de aproximadamente 2 millones de dólares estadounidenses (aproximadamente 1,6 millones de libras esterlinas) y hasta cinco años de prisión, aunque el juez determinará la sentencia final. El caso se originó por la transmisión por parte de Bolton de notas manuscritas que contenían información altamente clasificada a dos familiares durante y después de su paso por la administración Trump.
La Unidad de Delitos Digitales de Microsoft, en colaboración con Europol y socios internacionales, anunció la desarticulación de las operaciones de los infostealers Amadey y StealC como parte de la Operación Endgame. La acción coordinada identificó más de 200 dominios y direcciones IP maliciosos de comando y control, que fueron desactivados mediante órdenes judiciales y incautaciones de dominios. Más de 140 000 computadoras en todo el mundo fueron infectadas con estas herramientas durante un período de monitoreo de dos semanas en mayo. La operación recuperó 27 millones de credenciales de inicio de sesión robadas y congeló 41 millones de euros (aproximadamente 47 millones de dólares estadounidenses) en activos criptográficos criminales. Microsoft dijo que los investigadores utilizaron herramientas de inteligencia artificial, incluido Copilot, para analizar binarios de malware y mapear la infraestructura compartida entre las dos familias, que operan como malware como servicio y sirven como puertas de entrada a ataques de ransomware.
Fuentes: Security News This Week: LastPass Users Had Their Data Stolen – Again (Wired, 27 de junio de 2026); LastPass Confirms Customer Data Breach After Klue OAuth Token Theft (HackRead, 23 de junio de 2026); Microsoft, Europol lead global takedown of infostealer malware (Cybersecurity Dive, 24 de junio de 2026); John Bolton pleads guilty in documents case (USA Today, 26 de junio de 2026)
Traducido por Alessandra