Robo de tokens OAuth en cadena de suministro expone datos personales de usuarios de gestor de contraseñas

Un ataque dirigido a un proveedor intermediario comprometió información de clientes sin vulnerar la infraestructura principal ni las contraseñas almacenadas, evidenciando el riesgo sistémico de las integraciones OAuth en entornos empresariales.

Datos personales de usuarios del gestor de contraseñas LastPass quedaron expuestos tras un ataque a su proveedor de inteligencia de mercado Klue, detectado el 12 de junio de 2026. Los atacantes no vulneraron directamente la infraestructura del gestor ni accedieron a contraseñas o claves maestras, sino que explotaron tokens OAuth robados para moverse lateralmente a través de la integración entre Klue y el entorno Salesforce.

Los tokens OAuth funcionan como credenciales de acceso temporal que permiten a aplicaciones comunicarse entre sí sin requerir contraseñas directas. Al comprometer estos tokens, los atacantes pudieron suplantar aplicaciones legítimas y extraer información de clientes de LastPass sin generar alertas inmediatas. La información expuesta incluye nombres, números de teléfono, direcciones de correo electrónico, domicilios físicos y datos vinculados a actividad comercial. Aunque este conjunto de datos no habilita el acceso directo a cuentas protegidas, representa un vector de alto valor para campañas de phishing dirigido, donde los delincuentes utilizan información verídica para ganar credibilidad ante las víctimas.

El incidente pone en evidencia una vulnerabilidad estructural que los equipos de seguridad empresarial deben atender con urgencia: la superficie de ataque no se limita a los sistemas propios, sino que se extiende a cada proveedor, integración y servicio de terceros conectado al ecosistema corporativo. Para los CTO, este caso refuerza la necesidad de auditar los permisos OAuth activos, implementar rotación periódica de tokens y aplicar el principio de mínimo privilegio en todas las integraciones SaaS. Para CEO y CMO, el riesgo reputacional y regulatorio derivado de brechas en la cadena de suministro digital es equivalente al de una vulneración directa. Klue confirmó públicamente la detección del incidente el 22 de junio, aunque no divulgó el número de clientes afectados ni el tipo específico de credenciales comprometidas. Desde Entorno recomendamos a los usuarios afectados mantener alerta ante comunicaciones no solicitadas que invoquen la identidad de sus proveedores de software.