Por Canuto Klue informó a sus clientes que mantiene contacto con Icarus, el grupo ligado al ataque de junio, y que este asegura estar eliminando los datos robados. Sin embargo, el caso se complicó por la aparición de una segunda banda criminal que ahora intenta extorsionar directamente a empresas afectadas.
***
- Klue dijo a sus clientes que Icarus afirma estar borrando la información sustraída tras el hackeo del 12 de junio.
- Una segunda banda de hackers asegura haber obtenido parte de los datos robados y amenaza con filtrarlos si no recibe pago.
- Los atacantes habrían usado una credencial de terceros de 2022 para entrar a Klue y luego robar tokens OAuth de clientes.
💥 Ciberataque a Klue: la trama se complica
Icarus, el grupo detrás del hackeo de junio, afirma estar borrando datos robados.
Sin embargo, una nueva banda de hackers extorsiona a los afectados con filtraciones de información.
Klue confirma que los atacantes usaron… pic.twitter.com/aNlMC9hdOK
— Diario฿itcoin (@DiarioBitcoin) June 25, 2026
Klue, proveedor de investigación de mercado, enfrenta una nueva escalada tras el ciberataque revelado esta semana. La empresa dijo a sus clientes que sigue en contacto con Icarus, el grupo criminal al que vincula con el robo de datos ocurrido el 12 de junio.
Según una actualización privada enviada el jueves por la noche y revisada por TechCrunch, la compañía asegura que Icarus le comunicó que está tomando medidas para eliminar la información sustraída. Klue también señaló que el sitio del grupo seguía fuera de línea y que existen indicios de que ese borrado estaría ocurriendo.
El episodio, sin embargo, está lejos de resolverse por completo. En los últimos días apareció una segunda banda de hackers que, de acuerdo con Klue, intenta extorsionar directamente a clientes afectados por la intrusión.
Ese giro agrava un caso que ya había impactado a varias firmas tecnológicas y de ciberseguridad. También vuelve a poner bajo la lupa viejas credenciales de acceso, la gestión de tokens OAuth y el riesgo de ataques en cadena contra proveedores con múltiples clientes corporativos.
En este tipo de incidentes, el punto más delicado no es solo el acceso inicial al sistema comprometido. El verdadero daño suele aparecer cuando los atacantes usan esa puerta para avanzar hacia entornos de nube, bases de datos y aplicaciones conectadas de terceros.
Lo que Klue dijo a sus clientes sobre Icarus
Klue confirmó el lunes que los atacantes ingresaron a sus sistemas el 12 de junio. La empresa también reconoció que se robó una cantidad no especificada de datos pertenecientes a un número no especificado de clientes.
En la actualización privada del jueves, la compañía afirmó: “Continuamos comunicándonos con el actor de la amenaza con el que hemos estado en contacto (‘Icarus’)”. Esa frase muestra que la empresa mantiene un canal abierto con el grupo al que asocia con la violación.
Klue agregó que Icarus le dijo estar “tomando medidas para eliminar los datos tomados de los clientes de Klue”. La empresa también sostuvo que el sitio de Icarus seguía caído y que observaba indicios de que la supuesta eliminación de datos era real.
Hasta la mañana del jueves, el sitio web de Icarus parecía estar fuera de línea. Ese detalle coincide con lo que la empresa comunicó de forma privada a sus clientes durante la noche anterior.
Aunque esa versión puede sugerir una posible desescalada, no existe confirmación independiente sobre el destino final de todos los archivos robados. Tampoco se conoce con certeza por qué el portal de Icarus dejó de estar disponible.
La situación ilustra un problema frecuente en eventos de extorsión digital. Incluso cuando una empresa afirma estar dialogando con los atacantes, verificar si los datos fueron realmente destruidos resulta difícil y, en muchos casos, imposible.
La segunda banda que amenaza con filtrar datos
El caso se complicó cuando Klue informó que Icarus le habló de una segunda pandilla de hackers. Según esa versión, el nuevo grupo estaría tratando de extorsionar a clientes de la empresa de forma directa.
La banda no identificada publicó en su propio sitio una lista de supuestas empresas afectadas. En ese mismo espacio afirmó haber obtenido datos de clientes de Klue directamente desde Icarus.
Los ciberdelincuentes también sostuvieron que Klue pagó a “un operador de Icarus que es un adolescente que vive en algún lugar del Reino Unido o países adyacentes”. Esa afirmación no pudo ser verificada de forma independiente.
De acuerdo con el relato de los propios atacantes, esa persona cometió un error que les permitió conectarse al servidor donde se almacenaban los datos robados. Desde allí, aseguran, pudieron copiar parte del material sustraído.
En su mensaje, los criminales escribieron: “Pague el rescate o filtraremos todo si no nos paga”. También afirmaron que hay 195 clientes de Klue afectados en total.
Klue trasladó a sus clientes otra parte del mensaje atribuido a Icarus. Según la compañía, el grupo original dijo que la nueva parte solo tendría muestras de datos para un subconjunto de clientes, no el conjunto completo de la información robada.
La empresa añadió que Icarus le pidió avisar a los clientes que no realicen pagos a esa otra banda. En paralelo, Klue recomendó a las organizaciones que estén en contacto con ese segundo grupo que soliciten una muestra aleatoria como prueba de posesión real de los datos.
Ese consejo busca evitar pagos basados en amenazas no verificadas. En el ecosistema del ransomware y la extorsión, no es raro que terceros intenten aprovechar un incidente de alto perfil para lanzar reclamos oportunistas.
Empresas afectadas y alcance del incidente
Desde que Klue reconoció la intrusión, varios de sus clientes confirmaron haber sido alcanzados por el incidente. La lista incluye a Gong, Jamf, HackerOne, Huntress, Insurity, LastPass, OneTrust, Recorded Future, ReliaQuest, Snyk, Sprout Social y Tanium.
La diversidad de nombres muestra que el incidente no golpeó a un solo segmento. Entre los afectados hay compañías de software, seguridad, gestión empresarial e inteligencia tecnológica.
Klue no ha precisado cuántos registros fueron sustraídos ni cuántos clientes fueron impactados en total. Esa falta de cifras concretas dificulta medir la magnitud final del ataque y sus posibles consecuencias regulatorias o reputacionales.
La cifra de 195 clientes afectados proviene únicamente del segundo grupo criminal. Hasta ahora, ese número no cuenta con validación independiente ni con confirmación pública por parte de la empresa afectada.
En casos de este tipo, la incertidumbre prolonga el daño operativo para las compañías involucradas. Las empresas deben revisar accesos, buscar señales de movimiento lateral y evaluar si sus propios entornos de nube o bases de datos fueron consultados por actores no autorizados.
También existe un costo indirecto importante. Cuando una firma que presta servicios a múltiples organizaciones es comprometida, el incidente puede derivar en una crisis de confianza que se expande mucho más allá del perímetro inicial del ataque.
La credencial de 2022 y el robo de tokens OAuth
Klue había dicho previamente que los hackers usaron una credencial de terceros de 2022. Esa credencial formaba parte de un piloto limitado, según la explicación entregada por la empresa.
Tras obtener ese acceso, los atacantes habrían robado claves de autenticación de clientes conocidas como tokens OAuth. Con esos tokens, según Klue, pudieron entrar a nubes y bases de datos de clientes.
Para lectores menos familiarizados con el término, OAuth es un sistema que permite a aplicaciones y servicios acceder a recursos sin compartir contraseñas tradicionales. Si esos tokens caen en manos equivocadas, pueden convertirse en llaves válidas para moverse entre servicios conectados.
Ese detalle vuelve especialmente serio el incidente. Un solo punto de acceso heredado puede transformarse en una plataforma de salto hacia activos de múltiples organizaciones si los mecanismos de autenticación no fueron revocados o rotados a tiempo.
Klue no ha ofrecido más información sobre la credencial comprometida. La empresa tampoco explicó a quién había sido asignada ni por qué no fue revocada durante los últimos cuatro años.
Esa ausencia de respuestas abre preguntas relevantes sobre higiene de accesos, gobierno de credenciales y controles de expiración. En seguridad corporativa, las credenciales antiguas o asociadas a pilotos cerrados suelen convertirse en uno de los eslabones más frágiles de la cadena.
La combinación de una credencial heredada y tokens OAuth robados sugiere un patrón de riesgo que muchas empresas comparten. No se trata solo de impedir el acceso inicial, sino de limitar qué puede hacer un intruso una vez logra entrar.
Un incidente que deja dudas abiertas
Por ahora, el panorama sigue siendo ambiguo. Klue afirma que Icarus está eliminando los datos, pero esa supuesta desactivación coincide con la aparición de un segundo actor que asegura tener al menos una parte del botín.
La empresa tampoco respondió de inmediato a una solicitud de comentarios citada por la fuente original. Eso deja sin aclarar cuestiones clave sobre un posible pago, la caída del sitio de Icarus y el alcance real de la filtración.
La historia también muestra cómo los mercados de datos robados pueden fragmentarse rápido. Un grupo roba, otro revende o recaptura, y las víctimas terminan enfrentando múltiples frentes de presión al mismo tiempo.
Para los clientes comprometidos, la recomendación inmediata parece clara: verificar cualquier reclamo con muestras aleatorias, revisar tokens activos, rotar credenciales y auditar accesos a nube y bases de datos. El daño reputacional puede ser severo, pero el riesgo técnico de una intrusión secundaria suele ser aún mayor.
En el fondo, el caso Klue resume una lección cada vez más visible en seguridad digital. La confianza entre proveedores, socios y clientes puede quebrarse por una sola credencial olvidada, y reconstruirla toma mucho más tiempo que perderla.
Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio Público.
Este artículo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisión.
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Empresas
Bumble estudia vender la empresa tras registrar caída en usuarios e ingresos estos últimos años
Empresas
BlackBerry, la icónica fabricante de celulares, resurge ahora como empresa de software IA
Empresas
Rippling lanza Data Cloud para vigilar el gasto en IA y medir el rendimiento de empleados
Empresas