El hackeo a Klue afecta a Huntress, HackerOne y otras 3 empresas de seguridad

El hackeo a Klue afecta a Huntress, HackerOne y otras 3 empresas de seguridad

Una brecha en la plataforma de inteligencia de mercado Klue ha desencadenado un incidente de cadena de suministro de filtración de datos en empresas de ciberseguridad que afecta a algunos de los nombres más reconocidos del sector. Huntress, HackerOne, Jamf, Recorded Future y Tanium confirmaron que se sustrajeron datos como consecuencia directa del anterior compromiso de Klue. Este incidente es un duro recordatorio de que incluso las organizaciones cuyo modelo de negocio se basa en proteger a otros pueden verse derribadas por un proveedor en el que confiaban.

¿Qué empresas de ciberseguridad fueron afectadas y qué datos se llevaron?

Las cinco víctimas confirmadas abarcan un amplio espectro del sector de la ciberseguridad. Huntress se centra en la detección y respuesta gestionadas para pequeñas y medianas empresas. HackerOne opera una de las plataformas de recompensas por errores y divulgación de vulnerabilidades más utilizadas del mundo. Jamf se especializa en la gestión de dispositivos Apple para clientes empresariales. Recorded Future es un destacado proveedor de inteligencia de amenazas. Tanium ofrece gestión de endpoints y seguridad a gran escala.

Las cinco son clientas de Klue. Klue es una plataforma de inteligencia de mercado que ayuda a las empresas a rastrear la actividad de la competencia, ingiriendo por lo general datos de una serie de herramientas empresariales conectadas. Esa conectividad es precisamente lo que la convirtió en un objetivo de alto valor. Dado que Klue contaba con integraciones autorizadas con los sistemas de sus clientes, una brecha en Klue podía utilizarse como trampolín hacia los entornos de esos clientes sin necesidad de atacarlos directamente.

Los datos concretos sustraídos de cada empresa no se han revelado por completo, pero la exposición afectó a sistemas empresariales orientados al cliente y no a infraestructura operativa puramente interna.

Cómo la brecha de Klue se convirtió en un ataque a la cadena de suministro contra proveedores de seguridad

La mecánica de cómo esto pasó de una empresa de estudios de mercado a cinco compañías de ciberseguridad ilustra exactamente por qué los ataques a la cadena de suministro se han vuelto tan atractivos para los actores de amenazas. En lugar de intentar vulnerar directamente a un proveedor de seguridad blindado, el atacante compromete un objetivo previo más blando que ya posee las llaves.

En el caso de Klue, el vector de ataque involucró una vulnerabilidad de OAuth que permitió a un grupo de amenazas obtener acceso no autorizado a los datos de Salesforce CRM conectados. Tal y como se cubrió en un reportaje anterior sobre la brecha de OAuth de Klue que permitió el robo de datos de Salesforce CRM, el grupo de amenazas conocido como «Icarus» explotó esta falla de autenticación para moverse lateralmente hacia los entornos de Salesforce de múltiples clientes de Klue. Una vez dentro de esos sistemas CRM, los atacantes tuvieron acceso a datos empresariales estructurados que las empresas suelen tratar como altamente sensibles: registros de clientes, información del pipeline, historial de acuerdos y contactos de cuentas.

Esto es un compromiso de la cadena de suministro de libro. Las organizaciones víctimas no hicieron nada técnicamente incorrecto en la forma en que protegieron su propia infraestructura. Su exposición provino enteramente de confiar en un tercero que, a su vez, no protegió adecuadamente las integraciones de OAuth que gestionaba.

Por qué las empresas de seguridad son objetivos de alto valor para los actores de amenazas

Podría parecer contradictorio que un actor de amenazas apunte específicamente a empresas de ciberseguridad. Estas organizaciones emplean a profesionales expertos, mantienen programas de seguridad maduros y a menudo construyen las mismas herramientas que se utilizan para detectar y responder a ataques.

Pero esa experiencia es un arma de doble filo. Las empresas de seguridad poseen datos extraordinariamente sensibles. La plataforma de HackerOne, por ejemplo, se sitúa en la intersección de la investigación de vulnerabilidades y la divulgación corporativa. Recorded Future agrega inteligencia de amenazas que, en las manos equivocadas, podría revelar lo que los defensores saben y no saben sobre amenazas activas. Huntress tiene una profunda visibilidad de las redes de miles de pequeñas empresas. Un adversario que pueda acceder a cualquiera de estos sistemas obtiene no solo datos, sino inteligencia estratégica sobre el ecosistema de seguridad en general.

Además, los proveedores de seguridad suelen estar profundamente integrados en los entornos de los clientes precisamente porque sus productos requieren acceso privilegiado para hacer su trabajo. Esa integración crea más superficie de ataque, no menos. Las empresas atacadas en el incidente de Klue no fueron vulneradas a través de sus propios productos, pero el valor de lo que era accesible a través de sus sistemas CRM probablemente fue lo suficientemente significativo como para que el esfuerzo valiera la pena.

El patrón aquí también hace eco de otros incidentes de cadena de suministro de alto perfil en los que proveedores intermediarios sirvieron como punto de entrada a organizaciones que, de otro modo, estaban bien defendidas. Las plataformas de investigación de mercado e inteligencia competitiva, que habitualmente se conectan a los CRM y herramientas de ventas para ingerir y analizar datos, representan una categoría de riesgo emergente que muchos equipos de seguridad no han priorizado históricamente en sus evaluaciones de proveedores.

Qué significa esto para ti

Si trabajas en alguna de las empresas afectadas o colaboras con ellas, el paso inmediato es verificar si los datos de tu cuenta o tu información comercial estaban alojados en los entornos de Salesforce a los que se accedió. Ponte en contacto directamente con el proveedor y solicita detalles sobre qué categorías de datos quedaron expuestas.

En un sentido más amplio, este incidente refuerza varias prácticas concretas para cualquier organización que evalúe su propia exposición al riesgo:

• Audita regularmente tus integraciones de OAuth y de terceros. Cualquier plataforma autorizada a conectarse a tu CRM, correo electrónico o herramientas empresariales tiene una relación de confianza que debe revisarse y limitarse a los permisos mínimos necesarios.
• Segmenta el acceso de forma agresiva. Los proveedores deben recibir acceso únicamente a los datos que necesitan para desempeñar su función específica. Una herramienta de inteligencia de mercado que necesita datos de seguimiento de la competencia no requiere acceso completo al CRM.
• Aplica estrategias de defensa en profundidad en toda tu pila de proveedores. Ningún control de seguridad único es suficiente. Superponer la monitorización, los controles de acceso y la detección de anomalías en las integraciones de proveedores reduce el radio de explosión de cualquier compromiso.
• Trata tu lista de proveedores como parte de tu superficie de ataque. Cada herramienta SaaS a la que se conecta tu organización es un posible punto de entrada. Las revisiones periódicas de qué proveedores poseen qué credenciales de acceso pueden revelar exposiciones inesperadas antes de que lo haga un atacante.

El incidente de Klue es un útil estudio de caso sobre cómo funcionan en la práctica los ataques a la cadena de suministro. Los atacantes no necesitaron vencer a Huntress o a HackerOne en su propio terreno. Encontraron un punto de entrada más blando, lo explotaron y recogieron lo que había. Para los usuarios preocupados por la privacidad y las organizaciones conscientes de la seguridad, la lección es que tu postura de seguridad es tan fuerte como la integración más débil de tu ecosistema de proveedores. Revisar esas conexiones ahora, antes del próximo incidente, es lo más práctico que cualquier organización puede hacer.