AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

Exfiltración masiva de datos en Coupang: un exempleado compromete la información de 33,7 millones de clientes

admin

Introducción

El gigante surcoreano del comercio electrónico Coupang se ha visto envuelto en uno de los incidentes de ciberseguridad más graves de su historia tras confirmarse la exfiltración de datos sensibles pertenecientes a 33,7 millones de sus clientes. El incidente, que ha conmocionado tanto a la industria tecnológica de Asia como a la comunidad internacional de ciberseguridad, pone de manifiesto la importancia de una correcta gestión de accesos y privilegios, así como de la monitorización continua de las credenciales tras la desvinculación de empleados. El caso, vinculado directamente a un exempleado que conservaba acceso a sistemas internos, obliga a replantear protocolos y controles en torno al ciclo de vida de las identidades digitales en las organizaciones.

Contexto del Incidente

El incidente de seguridad fue revelado a raíz de una investigación interna y posterior notificación a los organismos de protección de datos de Corea del Sur, cumpliendo con los requisitos de la Ley de Protección de la Información Personal (PIPA) y en línea con las directrices del GDPR para empresas con clientes europeos. A diferencia de otros ciberataques recientes, el caso Coupang no se ha atribuido inicialmente a actores externos ni a sofisticadas campañas de ransomware, sino a la actuación interna de un exempleado que, tras abandonar la empresa, mantuvo acceso no autorizado a sistemas críticos debido a una deficiente revocación de privilegios.

La magnitud de la brecha, que afecta a aproximadamente el 65% de la base de usuarios activos de Coupang, pone en jaque no solo la reputación de la compañía, sino también la confianza de sus clientes y el cumplimiento de las obligaciones regulatorias internacionales, incluyendo NIS2 y GDPR.

Detalles Técnicos: Vectores de Ataque y TTPs

Las primeras investigaciones forenses han identificado que el acceso indebido fue posible por la no desactivación oportuna de las credenciales asociadas a cuentas privilegiadas de administración. El exempleado utilizó credenciales válidas –probablemente almacenadas en un gestor no centralizado o no vinculadas a un directorio activo con política de ciclo de vida automatizada– para acceder a bases de datos internas y sistemas de almacenamiento en la nube (AWS S3).

No se ha publicado un CVE específico asociado a una vulnerabilidad de software, ya que el vector de ataque corresponde a la explotación de procesos débiles de gestión de identidades (fallo de IAM). Sin embargo, el patrón se alinea con las técnicas T1078 (Valid Accounts) y T1087 (Account Discovery) del framework MITRE ATT&CK. El acceso persistente permitió la enumeración de tablas, extracción selectiva de registros y posterior exfiltración utilizando protocolos cifrados no monitorizados.

Entre los Indicadores de Compromiso (IoC) identificados figuran logs de acceso anómalos desde ubicaciones IP no habituales, patrones de acceso fuera del horario laboral y la transferencia masiva de datos a destinos externos mediante herramientas legítimas de administración remota (por ejemplo, AWS CLI). No se ha detectado, hasta el momento, el uso de frameworks de post-explotación como Metasploit o Cobalt Strike, lo que refuerza la hipótesis de un actor interno con conocimiento profundo de la infraestructura.

Impacto y Riesgos

La información comprometida incluye nombres completos, direcciones de correo electrónico, números de teléfono, direcciones físicas y detalles parciales de métodos de pago. Si bien Coupang asegura que no se han filtrado datos bancarios completos ni contraseñas en texto claro, el volumen y la naturaleza de los datos expuestos presentan un riesgo elevado de ataques de ingeniería social, phishing y fraude a gran escala.

El incidente expone a Coupang a sanciones regulatorias que, bajo el GDPR, podrían alcanzar hasta el 4% de la facturación anual global, y a reclamaciones colectivas por parte de los usuarios afectados. Además, el incidente puede forzar revisiones de cumplimiento bajo el nuevo marco NIS2 para operadores de servicios esenciales y plataformas digitales.

Medidas de Mitigación y Recomendaciones

Tras la detección, Coupang ha implementado una auditoría exhaustiva de todas las cuentas privilegiadas, reforzado la rotación de credenciales y activado la autenticación multifactor (MFA) para accesos internos. Se recomienda a las organizaciones:

– Revisar y automatizar los procesos de offboarding de empleados.
– Implementar soluciones de gestión de identidades y accesos (IAM) con detección de anomalías.
– Monitorizar el acceso a recursos críticos mediante SIEM y alertas de comportamiento atípico.
– Realizar simulacros de respuesta a incidentes internos y revisión periódica de logs.
– Reforzar la concienciación sobre el uso responsable de credenciales y la segregación de funciones.

Opinión de Expertos

Especialistas en ciberseguridad consultados advierten que el 60% de las brechas con impacto crítico en los últimos años tienen relación directa con accesos internos o mala gestión de privilegios. «El caso Coupang ejemplifica cómo un único eslabón débil en la cadena de identidad puede poner en jaque millones de registros, incluso en empresas tecnológicamente avanzadas», señala un analista de amenazas de KISA. Los expertos recomiendan priorizar los controles Zero Trust y la automatización de los procesos de ciclo de vida de las cuentas.

Implicaciones para Empresas y Usuarios

Para las empresas, el incidente refuerza la necesidad de abordar la seguridad desde una perspectiva holística, considerando tanto las amenazas externas como los riesgos internos. Los usuarios, por su parte, deben estar alerta ante posibles campañas de phishing o suplantación derivadas de la filtración de sus datos personales y extremar las precauciones en la gestión de contraseñas y comunicaciones electrónicas.

Conclusiones

La brecha de datos en Coupang demuestra que incluso las organizaciones con elevada madurez tecnológica pueden ser vulnerables si descuidan los fundamentos de la gestión de identidades y accesos. El caso sirve de advertencia para revisar políticas de offboarding, automatizar controles y reforzar la cultura interna de ciberseguridad. La transparencia y la pronta notificación a los afectados serán claves para mitigar el impacto reputacional y legal en los próximos meses.

(Fuente: www.bleepingcomputer.com)