Las noticias sobre lo que podría ser el último gran incidente cibernético de 2025 llegaron temprano en la mañana del 29 de diciembre. Korean Air, que es la aerolínea insignia del país, enfrentó una violación de datos. La parte más significativa de la violación no fue el por qué, sino cómo sucedió, y cómo este incidente junto con la violación de Nissan Red Hat reflejan el mismo mensaje y refuerzan prácticamente la misma lección para todos nosotros.

Antes de entrar en la parte de la lección, pasemos un tiempo entendiendo qué salió mal en Korean Air.  

La violación real no se originó dentro de la infraestructura propia de Korean Air. En cambio, vino a través de KC&D Service, un proveedor clave de comidas a bordo y ventas a bordo. Este incidente afectó a casi 30,000 empleados cuyos registros fueron filtrados. La información filtrada incluyó nombres y cuentas bancarias.

El incidente: Anatomía de una violación de terceros

Según un aviso interno y nuestra investigación, un grupo de hackers externos apuntó a los servidores de KC&D Service. Debido a que KC&D, que anteriormente era una subsidiaria de Korean Air antes de ser vendida a una empresa de capital privado, maneja logística y ventas que requieren coordinación de personal. También poseía datos sensibles sobre el personal de la aerolínea.

¿Qué se expuso?

• Nombres de empleados

• Números de teléfono

• Números de cuentas bancarias

Korean Air ha aclarado que los datos de los clientes no se han visto afectados. La exposición de los detalles bancarios pertenecientes a 30,000 empleados abre una ventana peligrosa para fraudes financieros secundarios y campañas de phishing sofisticadas. Este es otro riesgo que debe ser abordado de inmediato.

Un patrón, no un accidente

Esto no es un evento aislado de ninguna manera. De hecho, sigue una violación casi idéntica en Asiana Airlines la semana pasada, que vio filtrados los registros de 10,000 empleados a través de un canal similar. Cuando agregas el masivo incidente de datos de Coupang a principios de este mes a esta mezcla, surge una tendencia clara.

Un enorme rompecabezas está emergiendo alrededor del mundo. Datos pertenecientes a empleados se están filtrando a través de importantes brechas. Los hackers ahora tienen acceso a más datos sobre personas de interés en negocios objetivo. Pueden validar los datos violados a través de varios conjuntos de datos de diferentes violaciones e incluso recopilar o derivar posibles credenciales.

Los hackers ya no pasan su tiempo golpeando la puerta principal de las grandes corporaciones. Están encontrando la "puerta lateral" que incluye a los proveedores, catering, y proveedores de servicios que tienen (o tuvieron) acceso legítimo a los datos de la nave nodriza pero a menudo carecen del mismo nivel de inversión en ciberseguridad o no otorgan a los datos la atención de seguridad necesaria.

Los proveedores son el nuevo objetivo principal

Para un cibercriminal, apuntar a un proveedor es a menudo un movimiento de alto ROI (Retorno de Inversión) por tres razones:

• Confianza por asociación: Los proveedores a menudo tienen acceso "privilegiado" a los sistemas internos o bases de datos de la empresa principal para facilitar operaciones.

• Disparidad de recursos: Mientras una empresa global puede gastar millones en un SOC (Centro de Operaciones de Seguridad), un socio comercial podría tener un presupuesto de TI mucho más reducido.

• Movimiento lateral: Una vez que un hacker está dentro de la red del proveedor, a menudo pueden "saltar" a la red del cliente si las integraciones de servicio no están estrictamente segmentadas.

• Los datos olvidados: A veces los datos de proyectos anteriores que pertenecen a un cliente son olvidados una vez que el proyecto ha terminado. Tales datos pueden estar almacenados en un servidor que no se usa frecuentemente y no está asegurado por medidas adecuadas. Los hackers buscan proactivamente tales datos.

La concienciación de los datos es importante

Korean Air ya ha implementado sus "medidas de seguridad de emergencia" y ha reportado la violación a las autoridades. Sin embargo, para la comunidad empresarial en general, la solución no es solo mejores cortafuegos. Es la Gestión de Riesgos de Terceros (TPRM). En el caso de la violación de Nissan Red Hat, los datos fueron almacenados por Red Hat (un socio del proyecto) en un repositorio en la sombra que fue vulnerado.

Tanto la violación de Korean Air como la de Nissan destacan las mismas lecciones. Necesitamos construir una ruta de datos para entender toda la cadena de datos, incluyendo datos compartidos en el pasado con proveedores o vendedores. Esta información luego puede usarse para construir un mapa de calor para calificar los datos en riesgo según las medidas de seguridad otorgadas por la entidad que maneja los datos (ya sea un equipo interno o un proveedor externo). A menos que se alcancen tales niveles de concienciación de datos, corremos el riesgo de que tales violaciones ocurran con más frecuencia.

Con cada episodio de pérdida de datos, el riesgo de grandes violaciones aumenta. Así, al entrar en 2026, necesitamos interiorizar la seguridad de los datos en toda la extensión y asegurar el despliegue de un conjunto de controles específicos de seguridad de datos.

Además, recomendamos el despliegue de las siguientes medidas de seguridad para asegurar datos y sistemas.   

• Arquitectura de confianza cero: Nunca confíes en la conexión de un socio por defecto. Cada interacción entre el servidor de un proveedor y el servidor de la empresa debe ser verificada. Se debe alentar a los socios a adoptar por defecto medidas estrictas de seguridad de datos y sistemas antes de cualquier intercambio de datos.

• Minimización estricta de datos: Haz una pregunta básica: ¿Realmente necesita nuestro socio de catering los números de cuenta bancaria de nuestros empleados? Tal vez sí, pero si la respuesta es no, esos datos no deberían estar en sus servidores.

• Auditoría continua: Los cuestionarios de seguridad anuales para proveedores son tan efectivos como un paraguas en vientos fuertes. El monitoreo en tiempo real de la postura de seguridad de los socios es el nuevo estándar.

• Mapear todos los datos olvidados y controles: Realiza una auditoría de datos para determinar dónde están todos tus datos y mapear las medidas de seguridad asociadas con tales datos.

• Revisar los acuerdos con los socios: Ver si las cláusulas de seguridad de datos mencionadas son lo suficientemente estrictas. Si no, habla con tu equipo legal para ver si tales acuerdos y/o contratos podrían ser revisados.

• Realizar una auditoría de seguridad de datos

Próximos pasos para los empleados afectados

Si eres un empleado afectado por una violación, tu enfoque inmediato debe ser la prevención de daños secundarios:

• Monitorear los extractos bancarios: Busca "microtransacciones" que podrían ser un precursor de transferencias no autorizadas más grandes.

• Higiene de credenciales: Cambia las contraseñas de cualquier cuenta que pueda usar tu número de teléfono del trabajo para 2FA, especialmente si sospechas que esas cuentas podrían ser objetivo mediante phishing por SMS (Smishing).

• Ignorar solicitudes "urgentes": Desconfía de correos electrónicos o mensajes de texto que afirmen ser de "RRHH" o "Finanzas" pidiendo "números de tarjeta de seguridad" o "códigos de verificación" para "arreglar la violación".

• Habla con tu equipo de seguridad para identificar medidas específicas para reducir el riesgo para ti y para tu empleador.

El incidente de Korean Air es un recordatorio de que en 2025, tu perímetro podría ser efectivamente infinito si no tienes el conjunto correcto de controles. Proteger tus datos debe significar proteger cada eslabón en la cadena que los toca. Esperamos un 2026 más seguro.

¿Interesado en un informe personalizado sobre medidas de seguridad específicas para segmentar tu red OT? Habla con nuestro experto.

Prueba nuestra solución NDR para la seguridad OT, aquí.

Para todo lo demás, háznoslo saber aquí.