Hackers acceden a datos personales de usuarios de LastPass tras ataque a proveedor

El impacto potencial de la filtración se extiende más allá del acceso a información individual.

(Imagen Ilustrativa Infobae)Un reciente incidente de ciberseguridad ha puesto en alerta a usuarios del reconocido gestor de contraseñas LastPass. Un ataque dirigido a la cadena de suministro de su proveedor Klue permitió a piratas informáticos acceder a datos personales de clientes, utilizando como puerta de entrada el entorno Salesforce. Aunque la infraestructura principal de LastPass y sus productos no se vieron comprometidos, los criminales lograron obtener información sensible a través de la manipulación de tokens OAuth, lo que ha puesto en el centro del debate la vulnerabilidad de los servicios intermediarios. PUBLICIDADEl 12 de junio de 2026, se detectó una actividad no autorizada que tuvo como objetivo a Klue, plataforma de inteligencia de mercado utilizada por varias empresas, incluyendo LastPass. Los atacantes consiguieron robar tokens OAuth, que funcionan como llaves digitales temporales para acceder a servicios como Salesforce sin requerir contraseñas. Así informó LastPass el ataque dirigido a la cadena de suministro de su proveedor Klue.

(blog.lastpass.com)Este método les permitió hacerse pasar por aplicaciones legítimas y, de ese modo, extraer información confidencial de los clientes de LastPass. La brecha no fue consecuencia de una falla directa en la seguridad del gestor de contraseñas, sino de una estrategia que explotó la integración entre Klue y otros servicios como Salesforce. Al obtener los tokens OAuth, los delincuentes accedieron a los sistemas sin levantar sospechas inmediatas. PUBLICIDADSegún el blog oficial de LastPass, una vez detectado el incidente, se procedió de inmediato a iniciar una investigación interna para determinar el alcance del acceso no autorizado y tomar medidas correctivas. Los datos personales robados suelen tener un alto valor en mercados ilegales como la Dark Web.