Incidente en la Cadena de Suministro de Klue Llega a LastPass: Datos del CRM (Números de Teléfono, Direcciones) Podrían Haber Sido Expuestos

24 jun 2026

Incidente en la Cadena de Suministro de Klue Llega a LastPass: Datos del CRM (Números de Teléfono, Direcciones) Podrían Haber Sido Expuestos

Una reciente brecha de terceros ha puesto de actualidad los registros de contacto y soporte al cliente, esta vez involucrando a LastPass y a un proveedor llamado Klue. Si bien las bóvedas de contraseñas no fueron accedidas, el incidente sigue siendo relevante para los usuarios de criptomonedas porque los datos del CRM son exactamente lo que los atacantes necesitan para llevar a cabo campañas de phishing, SIM-swap e suplantación de identidad de alta conversión.

A continuación, se detalla lo sucedido, por qué es relevante para la seguridad blockchain y qué puede hacer ahora para reducir el riesgo.

Qué sucedió (y qué no sucedió)

LastPass informó que tuvo conocimiento de un incidente de seguridad que afectaba a Klue, una plataforma de inteligencia de mercado utilizada por los equipos de LastPass encargados de la comercialización. El problema principal: los atacantes obtuvieron tokens OAuth que Klue poseía para varios clientes y luego utilizaron esos tokens para acceder a datos dentro de entornos Salesforce conectados, incluida la instancia de CRM de LastPass. Esta descripción ha sido ampliamente reportada y coincide entre varios medios de seguridad, incluyendo la cobertura de bleepingcomputer.com y el informe de techcrunch.com.

La información potencialmente expuesta es contenido típico de CRM y soporte al cliente, como:

  • Nombres
  • Números de teléfono
  • Direcciones de correo electrónico
  • Direcciones físicas/domiciliarias
  • Detalles de casos de soporte
  • Registros de ventas/cuentas relacionados con el CRM

Este alcance también es resumido por cyberinsider.com y hackread.com.

Lo que LastPass afirma que no se vio afectado:

  • Los productos e infraestructura de LastPass.
  • Las bóvedas de contraseñas de los clientes (el contenido de las bóvedas no fue expuesto a través de este incidente).
  • No hay evidencia de acceso de atacantes a datos relacionados con Gong, según la investigación de la compañía citada por bleepingcomputer.com.

LastPass también describió acciones inmediatas de contención y seguimiento: cortar el acceso de los empleados a Klue, rotar los tokens expuestos, coordinar con socios y autoridades policiales, y compartir inteligencia de amenazas a través de su equipo TIME, según lo informado por techcrunch.com y cyberinsider.com.

Por qué los usuarios de criptomonedas deberían preocuparse incluso si "las bóvedas están seguras"

En el mundo de las criptomonedas, las brechas más costosas a menudo comienzan sin las claves privadas. Los atacantes primero recopilan contexto: su correo electrónico, número de teléfono, dirección, empleador, pistas sobre historial de transacciones y tickets de soporte, y luego lo utilizan como arma a través de la ingeniería social.

Los datos del CRM son particularmente peligrosos porque permiten:

1) Phishing de alta confianza y "suplantación de soporte"

Si un atacante sabe que anteriormente abriste un caso de soporte, puede crear un mensaje que parezca legítimo ("dando seguimiento al ticket #...", "se requiere verificación de cuenta"). Ese tipo de pretexto aumenta drásticamente la tasa de clics y el cumplimiento.

Para patrones generales de phishing y recomendaciones defensivas, consulte la guía de cisa.gov sobre phishing.

2) Intentos de SIM-swap y toma de control de cuentas

Los números de teléfono y las direcciones pueden respaldar la suplantación de identidad en tiendas de operadores, narrativas de "teléfono perdido" o acoso dirigido, especialmente cuando se combinan con campos de marketing o CRM filtrados (nombre de la empresa, cargo, región). Si su cuenta de intercambio o correo electrónico depende de la recuperación por SMS, está expuesto.

3) Extorsión dirigida e intimidación con "dirección física"

Los poseedores de criptomonedas son particularmente vulnerables a las estafas coercitivas. Una dirección de domicilio puede convertir un intento básico de phishing en una campaña amenazante que presiona a las víctimas a tomar acciones apresuradas.

4) Fraude en cadena de bloques más convincente

Los atacantes pueden usar detalles personales para empujar a las víctimas a:

  • Firmar transacciones maliciosas.
  • Sitios de "verificación de billetera".
  • Portales falsos de cumplimiento/KYC.
  • Flujos de trabajo de "recuperación" de frases semilla.

Ninguno de estos requiere acceso a una bóveda de contraseñas, solo una historia creíble.

La tendencia más amplia: integraciones SaaS y abuso de tokens OAuth

Este incidente es un ejemplo clásico del riesgo moderno en la cadena de suministro: una herramienta externa con acceso delegado se convierte en el punto de entrada. Los tokens OAuth están diseñados para permitir que las aplicaciones accedan a sistemas sin solicitar credenciales repetidamente; esa conveniencia puede convertirse en una responsabilidad cuando los tokens son robados.

Para los equipos que construyen en Web3 (exchanges, plataformas NFT, DAOs, proveedores de infraestructura), esto es importante porque las herramientas empresariales (CRM, mesas de ayuda, análisis) a menudo se encuentran adyacentes a flujos de trabajo de alto valor como la incorporación de usuarios, las comunicaciones KYC y la recuperación de cuentas.

Incluso si su custodia en cadena es sólida, su perímetro de identidad fuera de cadena puede ser débil.

Pasos prácticos para los usuarios: reducir el riesgo de "fugas de datos de contacto"

Si puede verse afectado, o simplemente desea fortalecer su configuración personal, priorice lo siguiente:

1) Trate los mensajes entrantes como hostiles por defecto

Sea sospechoso de:

  • Notificaciones de "cuenta marcada".
  • Verificaciones de seguridad urgentes.
  • Solicitudes de restablecimiento que no inició.
  • Solicitudes para "confirmar" frases semilla, claves privadas o contraseñas maestras.

En caso de duda, no responda. Navegue al servicio a través de un marcador o una URL escrita manualmente y abra una nueva solicitud de soporte.

2) Mueva la recuperación de SMS siempre que sea posible

Cuando sea compatible, prefiera factores más sólidos como aplicaciones de autenticación o llaves respaldadas por hardware. La guía de identidad digital del NIST explica por qué SMS es un canal de recuperación más débil en muchos modelos de amenazas (nist.gov SP 800-63B).

3) Separe las identidades: alias de correo electrónico + bandeja de entrada única para finanzas/cripto

Una dirección de correo electrónico dedicada (nunca publicada públicamente) reduce la correlación y el spear phishing dirigido. Si debe usar una dirección principal, considere reglas de alias y filtros estrictos.

4) Bloquee los retiros de exchanges y el acceso a la API

Si utiliza servicios centralizados:

  • Habilite listas blancas de retiro (si están disponibles).
  • Deshabilite las claves API que no necesita.
  • Revise el historial de inicio de sesión con frecuencia.

5) Asuma que el contenido de los tickets de soporte puede ser sensible

Los casos de soporte a menudo incluyen capturas de pantalla, identificaciones parciales, facturas o detalles del dispositivo. De ahora en adelante, minimice lo que comparte en los tickets:

  • Redacte datos personales.
  • Nunca pegue frases semilla.
  • Evite compartir historiales de transacciones completos a menos que sea necesario.

Qué significa esto para la autocustodia: mantenga las claves fuera de Internet

Incidentes como este refuerzan un principio fundamental: la clave privada más segura es la que nunca toca un entorno conectado a Internet.

Una billetera de hardware ayuda al aislar la firma de su dispositivo cotidiano, por lo que incluso si es objeto de un phishing persuasivo, tiene un punto de control adicional: debe confirmar físicamente la transacción.

Si está evaluando prácticas de autocustodia más sólidas, el enfoque de OneKey —aislamiento de claves sin conexión, confirmación de transacciones en el dispositivo y un ecosistema diseñado para la firma verificable— encaja naturalmente en un modelo de defensa donde se esperan fugas de datos de contacto y la ingeniería social es la amenaza principal.

Conclusión final

Este incidente relacionado con Klue no involucró el contenido de las bóvedas de LastPass, pero puede exponer los ingredientes más "accionables" para las estafas de criptomonedas: números de teléfono, correos electrónicos, direcciones y contexto de soporte. En 2025-2026, los atacantes ganan cada vez más por persuasión, no por romper el cifrado.

Su mejor defensa es en capas:

  • Fortalezca su perímetro de identidad.
  • Desconfíe de la comunicación de soporte entrante.
  • Mantenga la firma de alto valor en un dispositivo diseñado para el aislamiento.

Para cobertura continua y detalles del incidente según lo informado por la prensa de seguridad, consulte techcrunch.com y bleepingcomputer.com.

Asegura tu viaje cripto con OneKey

View details for Comprar OneKeyComprar OneKey

Comprar OneKey

La cartera de hardware más avanzada del mundo.

View details for Descargar aplicaciónDescargar aplicación

Descargar aplicación

Alertas de estafa. Todas las monedas soportadas.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Claridad cripto — a una llamada de distancia.