La noticia de lo que podría ser el último incidente cibernético importante de 2025 llegó temprano en la mañana del 29 de diciembre. Korean Air, que es la aerolínea de bandera del país, enfrentó una violación de datos. La parte más significativa de la violación no fue por qué, sino cómo sucedió y cómo este incidente, junto con la violación de Nissan Red Hat, resuena el mismo mensaje y prácticamente refuerza la misma lección para todos nosotros.

Antes de entrar en la parte de la lección, pasemos un tiempo entendiendo qué salió mal en Korean Air. 

La violación real no se originó dentro de la propia infraestructura de Korean Air. En cambio, fue a través de KC&D Service, un proveedor clave de comidas a bordo y ventas a bordo. Este incidente impactó a casi 30,000 empleados cuyos registros fueron filtrados. La información filtrada incluía nombres y cuentas bancarias.

El incidente: Anatomía de una violación de un tercero

Según un aviso interno y nuestra investigación, un grupo de hackers externos apuntó a los servidores de KC&D Service. Debido a que KC&D, que era anteriormente una subsidiaria de Korean Air antes de ser vendida a una firma de capital privado, maneja logística y ventas que requieren coordinación de personal. También contenía datos sensibles sobre el personal de la aerolínea.

¿Qué se expuso?

• Nombres de empleados

• Números de teléfono

• Números de cuenta bancaria

Korean Air ha aclarado que los datos de los clientes no se vieron afectados. La exposición de los detalles bancarios pertenecientes a 30,000 empleados abre una ventana peligrosa para fraude financiero secundario y campañas de phishing sofisticadas. Este es otro riesgo que debe abordarse de inmediato.

Un patrón, no una casualidad

Este no es un evento aislado de ningún modo. De hecho, sigue una violación casi idéntica en Asiana Airlines la semana pasada, que vio 10,000 registros de empleados filtrados a través de un canal similar. Cuando se agrega el incidente masivo de datos de Coupang de principios de este mes a esta mezcla, surge una clara tendencia.

Un rompecabezas masivo está emergiendo alrededor del mundo. Los datos pertenecientes a empleados se están filtrando a través de brechas importantes. Los hackers ahora tienen acceso a más datos sobre personas de interés en empresas objetivo. Pueden validar los datos violados a través de varios conjuntos de datos de diferentes filtraciones e incluso obtener o derivar posibles credenciales.

Los hackers ya no pasan su tiempo golpeando la puerta principal de las grandes corporaciones. En su lugar, están encontrando la "puerta lateral" que incluye a los proveedores, caterers y proveedores de servicios que tienen (o tuvieron) acceso legítimo a los datos del proverbial buque madre, pero a menudo carecen del mismo nivel de inversión en ciberseguridad o no están otorgando la atención de seguridad adecuada a los datos.

Los proveedores son el nuevo objetivo principal

Para un cibercriminal, apuntar a un proveedor es a menudo un movimiento de alto ROI (Retorno de Inversión) por tres razones:

• Confianza por asociación: Los proveedores a menudo tienen acceso "privilegiado" a los sistemas internos o bases de datos de la empresa principal para facilitar las operaciones.

• Desigualdad de recursos: Mientras que una empresa global puede gastar millones en un SOC (Centro de Operaciones de Seguridad), un socio comercial podría tener un presupuesto de TI mucho más reducido.

• Movimiento lateral: Una vez que un hacker está dentro de la red del proveedor, a menudo pueden "saltar" a la red del cliente si las integraciones de servicios no están estrictamente segmentadas.

• Los datos olvidados: A veces, los datos de proyectos anteriores pertenecientes a un cliente se olvidan una vez que el proyecto ha terminado. Dichos datos pueden estar almacenados en un servidor que no se usa frecuentemente y que no está asegurado con medidas adecuadas. Los hackers buscan activamente esos datos.

Conciencia de datos es la necesidad del momento

Korean Air ya ha implementado sus "medidas de seguridad de emergencia" y ha reportado la violación a las autoridades. Sin embargo, para la comunidad empresarial en general, la solución no son solo mejores cortafuegos. Es la Gestión de Riesgo de Terceros (TPRM). En el caso de la violación de Nissan Red Hat, los datos estaban almacenados por Red Hat (un socio del proyecto) en un repositorio oculto que fue violado.

Tanto la violación de Korean Air como la de Nissan destacan las mismas lecciones. Necesitamos construir una huella de datos para entender toda la cadena de datos, incluyendo los datos compartidos en el pasado con proveedores o vendedores. Esta información puede luego usarse para construir un mapa de calor para calificar los datos en riesgo basándose en las medidas de seguridad otorgadas por la entidad que gestiona los datos (ya sea un equipo interno o un proveedor externo). A menos que se logren tales niveles de conciencia de datos, corremos el riesgo de que tales violaciones ocurran con más frecuencia.

Con cada episodio de pérdida de datos, el riesgo de una gran violación aumenta. Por lo tanto, al entrar en 2026, necesitamos internalizar la seguridad de datos en toda la huella más amplia y asegurar el despliegue de un conjunto de controles específicos de seguridad de datos.

Además, recomendamos el despliegue de las siguientes medidas de seguridad para asegurar datos y sistemas.  

• Arquitectura de confianza cero: Nunca confíe en la conexión de un socio por defecto. Cada interacción entre el servidor del proveedor y el servidor de la empresa debe ser verificada. Se debe fomentar a los socios a adoptar rigurosas medidas de seguridad de datos y sistemas por defecto antes de cualquier intercambio de datos.

• Minimización estricta de datos: Pregunte una pregunta básica: ¿Realmente necesita nuestro socio en catering los números de cuenta bancaria de nuestros empleados? Tal vez sí, pero si la respuesta es no, esos datos no deberían estar en sus servidores.

• Auditorías continuas: Los cuestionarios de seguridad anuales para proveedores son tan efectivos como un paraguas durante fuertes vientos. El monitoreo en tiempo real de la postura de seguridad de los socios es el nuevo estándar.

• Mapea todos los datos y controles olvidados: Realice una auditoría de datos para averiguar dónde están todos sus datos y mapa las medidas de seguridad asociadas con dichos datos.

• Revise sus acuerdos con socios: Vea si las cláusulas de seguridad de datos mencionadas son lo suficientemente estrictas. Si no, hable con su equipo legal para ver si tales acuerdos y/o contratos podrían ser revisados.

• Realizar una auditoría de seguridad de datos

Próximos pasos para los empleados afectados

Si usted es un empleado afectado por una violación, su enfoque inmediato debe estar en la prevención de daños secundarios:

• Monitorear extractos bancarios: Busque "microtransacciones" que podrían ser un precursor de transferencias no autorizadas más grandes.

• Higiene de credenciales: Cambie las contraseñas de cualquier cuenta que pueda usar su número de teléfono del trabajo para 2FA, especialmente si sospecha que esas cuentas podrían ser objetivo a través de phishing SMS (Smishing).

• Ignorar solicitudes "urgentes": Tenga cuidado de correos electrónicos o mensajes de texto que dicen ser de "RRHH" o "Finanzas" pidiendo "números de tarjeta de seguridad" o "códigos de verificación" para "arreglar la violación".

• Hable con su equipo de seguridad para identificar medidas específicas para reducir el riesgo para usted mismo y para su empleador.

El incidente de Korean Air es un recordatorio de que en 2025, su perímetro podría ser efectivamente infinito si no se tienen los controles adecuados. Proteger sus datos debe significar proteger cada enlace en la cadena que los toca. Aquí está a un 2026 más seguro.

¿Interesado en una sesión informativa personalizada sobre medidas de seguridad específicas para segmentar su red OT? Hable con nuestro experto.

Pruebe nuestra solución NDR para seguridad OT, aquí.

Para todo lo demás, háganoslo saber aquí.