Robo de tokens OAuth en cadena de suministro expone datos personales de usuarios de gestor de contraseñas

Un ataque a proveedor externo mediante manipulación de credenciales OAuth comprometió nombres, correos y direcciones físicas de clientes, sin afectar contraseñas ni infraestructura central.

Un incidente de ciberseguridad detectado el 12 de junio de 2026 expuso datos personales de clientes de LastPass a través de un vector de ataque indirecto: la plataforma de inteligencia de mercado Klue, proveedor externo que opera integrado con el entorno Salesforce del gestor de contraseñas. Los atacantes robaron tokens OAuth —credenciales digitales temporales que permiten autenticación entre servicios sin requerir contraseñas— y los utilizaron para suplantar aplicaciones legítimas y extraer información confidencial sin activar alertas inmediatas.

La información comprometida incluye nombres completos, números de teléfono, direcciones de correo electrónico, domicilios físicos y datos vinculados a actividad comercial. LastPass confirmó que ni las contraseñas almacenadas, ni la clave maestra, ni su infraestructura principal resultaron afectadas. Sin embargo, el tipo de datos expuestos representa un riesgo operativo concreto: permiten construir campañas de phishing dirigido (spear phishing) con alta credibilidad, al combinar datos de identidad verificables con el contexto de una marca de confianza. El 22 de junio, Klue emitió un comunicado confirmando la detección del incidente y la apertura de una investigación, aunque no precisó el número de clientes afectados ni el tipo exacto de credenciales sustraídas.

Para los equipos de seguridad corporativa y los CTO, este caso ilustra una vulnerabilidad estructural creciente: el riesgo no siempre reside en el sistema central, sino en las integraciones con terceros que operan con permisos elevados. La gestión del ciclo de vida de tokens OAuth —incluyendo rotación periódica, monitoreo de uso anómalo y auditoría de permisos delegados— se convierte en un control crítico cuando múltiples plataformas SaaS comparten acceso a entornos de datos sensibles. Los directivos deben revisar el inventario de integraciones activas y los niveles de acceso concedidos a proveedores de la cadena de suministro digital, especialmente aquellos con conectividad a CRM o plataformas de gestión de clientes. Ante el incidente, se recomienda a los usuarios afectados tratar con desconfianza cualquier comunicación que solicite datos personales o credenciales en los próximos días, independientemente del remitente aparente.