Amazon ha confirmado una brecha de seguridad que ha expuesto los datos de contacto de 2,8 millones de empleados. La vulnerabilidad, originada en un proveedor externo llamado MOVEit Transfer, ha permitido el acceso a información como direcciones de correo electrónico corporativo, extensiones telefónicas y ubicación de la oficina. Si bien Amazon asegura que sus sistemas y los de AWS se mantienen seguros, este incidente subraya la importancia de la ciberseguridad en toda la cadena de suministro.
La vulnerabilidad en MOVEit Transfer y su impacto en Amazon y otras empresas
El incidente se debe a una vulnerabilidad, identificada como CVE-2023-34362, en el software de transferencia de archivos MOVEit Transfer. Este software, utilizado por numerosas empresas a nivel mundial, se convirtió en el objetivo de un ciberataque masivo el año pasado. Un ciberdelincuente, autodenominado Nam3L3ss, publicó en el foro BreachForums la posesión de más de 2,8 millones de líneas de datos de empleados de Amazon, junto con información de más de 1.000 empresas adicionales afectadas por la misma vulnerabilidad.
La brecha de seguridad en MOVEit Transfer ha generado una cascada de problemas para organizaciones de diversos sectores. Entre las empresas afectadas se encuentran gigantes como MetLife, Leidos, Cardinal Health, U.S. Bank, HP, 3M, Lenovo, Omnicon Group, TIAA, City National Bank, McDonald’s, Charles Schwab, Delta Airlines y Canada Post. Este incidente pone de manifiesto la interconexión de los sistemas en el mundo empresarial actual y cómo la vulnerabilidad de un solo proveedor puede tener consecuencias devastadoras para una amplia red de organizaciones.
Amazon ha aclarado que la información comprometida se limita a datos de contacto de sus empleados y que no se ha accedido a información sensible como números de la seguridad social, documentos de identidad, datos financieros o información personal de carácter confidencial. El proveedor externo ha subsanado la vulnerabilidad y está colaborando con las autoridades para investigar el incidente. Aunque Amazon insiste en que sus propios sistemas no se vieron afectados directamente, la repercusión en la imagen de la empresa y la confianza de sus empleados es innegable.
La importancia de la ciberseguridad en la cadena de suministro
Este incidente sirve como recordatorio de la vital importancia de la ciberseguridad en toda la cadena de suministro. No basta con proteger los sistemas internos de una organización; también es crucial garantizar la seguridad de los proveedores externos y de todos los puntos de acceso a la información. Las empresas deben implementar políticas de seguridad robustas, incluyendo la evaluación regular de los riesgos de ciberseguridad de sus proveedores, la formación en seguridad para todos los empleados y la implementación de sistemas de detección y respuesta a incidentes.
La debilidad de un solo eslabón puede comprometer la seguridad de toda la cadena. En el caso de Amazon, la vulnerabilidad en MOVEit Transfer ha expuesto datos de millones de empleados, generando un impacto negativo en la confianza y la reputación de la compañía.
