Resumen del ataque
En junio de 2026, la empresa de investigación de mercado Klue fue penetrada por un grupo de ciberdelincuentes que lograron sustraer información confidencial de decenas de clientes internacionales. La intrusión se produjo tras la explotación de credenciales de terceros expuestas desde 2022, lo que permitió a los atacantes acceder a tokens OAuth y, a su vez, infiltrarse en nubes y bases de datos corporativas.
Quiénes son los atacantes
El actor principal se identifica como “Icarus”. Según comunicados privados enviados a los usuarios afectados, Icarus había amenazado con publicar los datos si no se le pagaba un rescate. Sin embargo, recientes indicios apuntan a que el propio Icarus está intentando eliminar la información robada, pues su sitio web se encuentra sin acceso y sus operarios afirman estar borrando los archivos comprometidos.
Respuesta de Klue
Klue mantuvo un canal de diálogo directo con Icarus, informando a sus clientes sobre los avances y aconsejando no ceder a la extorsión. La compañía también reveló que la filtración se originó a partir de una credencial de prueba que nunca fue revocada, lo que subraya la importancia de gestionar adecuadamente los accesos temporales.
Amenazas de un segundo grupo
En los últimos días surgió una nueva complicación: un colectivo desconocido publicó una lista de 195 empresas supuestamente vulneradas, alegando haber obtenido los datos directamente de Icarus. Este grupo presiona a los clientes de Klue para que paguen un rescate independiente, amenazando con divulgar cualquier muestra que posean. Klue recomendó solicitar una pequeña porción de la información como prueba de autenticidad antes de considerar cualquier pago.
Lecciones y recomendaciones
El incidente pone de relieve varios puntos críticos para la ciberseguridad empresarial: la necesidad de revocar credenciales obsoletas, la vigilancia constante de los logs de acceso y la preparación de planes de respuesta ante incidentes que incluyan canales de comunicación con actores maliciosos. Asimismo, la aparición de un segundo extorsionador demuestra que los ataques pueden convertirse en una cadena de chantajes y que la transparencia con los clientes es esencial para mitigar el daño reputacional.
