LastPass dijo que los piratas informáticos robaron datos de los clientes al violar la cadena de suministro en Clue
TL; DR
Los nombres de los clientes de LastPass, los correos electrónicos, los números de teléfono y los datos de los casos de soporte fueron robados cuando los piratas informáticos violaron las pistas de los proveedores y utilizaron tokens de OAuth para acceder a Salesforce.
LastPass notifica a los clientes que su información personal y los datos de sus casos de atención al cliente fueron robados después de que los piratas informáticos violaran Klue, un proveedor de inteligencia competitiva que tenía tokens OAuth que otorgaban acceso al entorno Salesforce de LastPass. La violación no comprometió la propia infraestructura de LastPass ni las bóvedas de contraseñas cifradas de sus clientes. Los datos robados incluían nombres, números de teléfono, direcciones de correo electrónico, direcciones físicas y el contenido de las interacciones de atención al cliente.
Clue reveló la infracción el 12 de junio, cuando el director ejecutivo Jason Smith confirmó que los atacantes habían obtenido acceso a los tokens OAuth de la empresa en nombre de sus clientes. Estos tokens brindan acceso autenticado al entorno de Salesforce donde empresas como LastPass almacenan datos de soporte y relaciones con los clientes. Los piratas informáticos utilizan tokens robados para extraer registros de varias organizaciones simultáneamente.
Un grupo de piratería y extorsión llamado Icarus se atribuyó la responsabilidad del ataque y amenazó con revelar los datos robados a menos que las empresas afectadas pagaran un rescate. LastPass no reveló cuántos clientes se vieron afectados, pero dijo que estaba notificando a aquellos cuya información se vio comprometida. La empresa tiene alrededor de 33 millones de usuarios y más de un millón de suscriptores de pago, según cifras públicas recientes.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
LastPass no es la única empresa afectada. Los ataques a la cadena de suministro se convirtieron en una de las amenazas de ciberseguridad definitorias de 2026, y la violación de Clue siguió un patrón similar: en lugar de atacar al objetivo directamente, los piratas informáticos comprometieron a un proveedor externo confiable con credenciales de acceso. Otras empresas afectadas por la violación de Clue incluyen HackerOne, RecordedFuture, Tanium, Gong, Jamoff, Snake, OneTrust, Sprout Social y Huntress.
El incidente es particularmente perjudicial para LastPass debido a la historia de la empresa. En 2022, los piratas informáticos violaron directamente LastPass y robaron todo el almacén de bóvedas de contraseñas de los clientes, y los investigadores de seguridad confirmaron más tarde que algunas bóvedas con contraseñas maestras débiles fueron descifradas fuera de línea, con credenciales robadas vinculadas al robo de más de 150 millones de dólares en criptomonedas. La violación destruyó la confianza en la empresa y provocó que una ola de clientes se cambiara a la competencia.
Esta vez, LastPass insistió en que sus propios sistemas no estaban comprometidos y que no se accedía a las bóvedas de contraseñas cifradas. La distinción es importante, pero puede ofrecer comodidad limitada a los consumidores cuyos datos personales y contenido del caso de apoyo están ahora en manos de un grupo extorsionador. El soporte puede contener contexto confidencial sobre problemas de cuentas, preocupaciones de seguridad y detalles de facturación que los usuarios comparten con una expectativa de privacidad.
La infracción pone de relieve una debilidad estructural en la forma en que las empresas gestionan el acceso de proveedores externos. Los tokens de OAuth están diseñados para otorgar acceso limitado y revocable a recursos específicos sin compartir contraseñas, pero cuando un proveedor como Klue posee tokens para docenas de clientes empresariales, ese único proveedor otorga acceso a todos ellos a la vez. La superficie de ataque no es la postura de seguridad de la empresa objetivo sino la postura de seguridad de cada proveedor en su cadena de suministro.
El papel de Klue como plataforma de inteligencia competitiva significa que recibe periódicamente datos de los sistemas de ventas y marketing de los clientes para proporcionar análisis de mercado y seguimiento de la competencia. Ese modelo de negocio requiere una profunda integración con plataformas CRM como Salesforce, que es precisamente lo que hizo que los tokens OAuth robados fueran tan valiosos para los atacantes.
La industria de administradores de contraseñas ha experimentado repetidos incidentes de seguridad en 2026, y Dashlane reveló en junio que los atacantes violaron su sistema de autenticación de dos factores y descargaron bóvedas cifradas de menos de 20 cuentas. El patrón sugiere que las organizaciones responsables de almacenar las credenciales más confidenciales de los usuarios siguen siendo objetivos de alto costo, ya sea mediante ataques directos o confiando en proveedores.
LastPass dijo que revocó los tokens OAuth comprometidos, está trabajando con Klue en la remediación y ha contratado a investigadores forenses externos. La compañía recomendó a los clientes afectados que estén atentos a los intentos de phishing que utilizan información personal robada para crear mensajes creíbles. Los clientes que interactúan con el soporte de LastPass y comparten detalles confidenciales en esas interacciones deben considerar esa información potencialmente divulgada.
Las demandas de rescate del grupo Icarus añaden un nivel de extorsión a lo que de otro modo sería un robo de datos convencional. Si el grupo cumple con las amenazas de revelar los datos, los clientes afectados de todas las empresas afectadas por la violación de Klue podrían enfrentar robo de identidad, phishing dirigido y ataques de ingeniería social basados en detalles específicos encontrados en sus registros de soporte e interacciones de ventas.
