AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Extorsión cibernética en el sector hostelero: cibercriminales amenazan con filtrar datos de clientes de HungerRush POS**

admin

### 1. Introducción

En las últimas horas, varios clientes de restaurantes que utilizan la plataforma de punto de venta (POS) HungerRush han reportado la recepción de correos electrónicos de carácter extorsivo. El remitente, un actor malicioso aún no identificado, advierte sobre la posibilidad de una filtración masiva de datos de clientes y establecimientos si la empresa no accede a sus demandas. Este incidente pone de manifiesto el creciente riesgo para el sector de la restauración ante amenazas de ransomware y extorsión digital, especialmente cuando se trata de plataformas SaaS ampliamente desplegadas.

### 2. Contexto del Incidente

HungerRush, una solución POS basada en la nube, es utilizada por miles de restaurantes en Estados Unidos y otros mercados internacionales. Su adopción se ha disparado tras la pandemia, gracias a la integración de funciones de pago, gestión de pedidos y fidelización de clientes. El incidente fue detectado tras la oleada de emails recibidos por clientes finales, en los que el atacante alegaba tener acceso a información sensible de restaurantes y consumidores, y exigía el pago de un rescate a la propia HungerRush para evitar la publicación de los datos sustraídos.

Aunque la compañía no ha confirmado una brecha de seguridad en sus sistemas, el patrón seguido por el atacante coincide con recientes campañas de extorsión dirigidas a proveedores de servicios críticos (tales como Kaseya, MOVEit o SolarWinds), en las que el acceso y exfiltración de datos de clientes se utiliza como palanca de presión ante la empresa comprometida.

### 3. Detalles Técnicos

Hasta el momento, no se ha hecho pública ninguna CVE específica relacionada con el ataque, pero investigadores de ciberseguridad están analizando posibles vectores de compromiso. Dada la naturaleza SaaS y la arquitectura cloud de HungerRush, existen múltiples superficies de ataque, incluyendo:

– **Compromiso de credenciales administrativas** mediante técnicas de phishing o fuerza bruta.
– **Explotación de vulnerabilidades no parcheadas** en el backend o APIs (por ejemplo, fallos de autenticación o inyección de SQL).
– **Ataques de cadena de suministro**, aprovechando integraciones con sistemas de terceros (pagos, reservas, etc.).
– **Spear phishing** dirigido a empleados de soporte o desarrollo.

La campaña sigue el patrón del TTP «Data Encrypted for Impact» (MITRE ATT&CK T1486) y «Exfiltration Over Web Service» (T1567), con la particularidad de que los actores están contactando directamente a los clientes para maximizar presión y daño reputacional.

Entre los IoC preliminares destacan direcciones IP de origen en Rusia y Europa del Este, así como dominios de correo temporales y wallets de criptomonedas para el pago del rescate. No se descarta la utilización de herramientas como Cobalt Strike o Metasploit para el movimiento lateral y la exfiltración de datos.

### 4. Impacto y Riesgos

El impacto potencial de este incidente es elevado, dada la naturaleza crítica de los datos gestionados por HungerRush: información personal de clientes, historiales de pedidos, tarjetas de fidelización, y, en algunos casos, detalles de pago y datos fiscales de los restaurantes.

Al menos un 15% de los clientes de HungerRush han reportado la recepción de correos de extorsión, según estimaciones de firmas de threat intelligence. El valor de mercado de la información sustraída puede superar los 2 millones de dólares en foros clandestinos, y el daño reputacional para los restaurantes afectados podría conllevar sanciones bajo el RGPD y la NIS2, así como pérdida de confianza por parte de los consumidores.

### 5. Medidas de Mitigación y Recomendaciones

En ausencia de un parche oficial, se recomienda a los responsables de seguridad y administradores de sistemas:

– Auditar inmediatamente todas las credenciales administrativas y forzar el cambio de contraseñas.
– Implementar MFA en todos los accesos a la plataforma y sistemas asociados.
– Revisar logs de acceso y actividad de las APIs para identificar posibles accesos no autorizados.
– Monitorizar tráfico saliente en busca de patrones anómalos de exfiltración.
– Notificar a usuarios y clientes finales sobre el incidente y reforzar la comunicación ante intentos de phishing.
– Preparar un plan de respuesta a incidentes específico para posibles filtraciones y extorsiones.

### 6. Opinión de Expertos

Especialistas en ciberseguridad como Ana Beltrán (CISO de una consultora española) subrayan que “la externalización de servicios críticos en la nube requiere contratos robustos y auditorías periódicas de seguridad, tanto técnicas como legales, para garantizar la resiliencia ante ciberextorsiones y fugas de información”. Por su parte, analistas de Threat Intelligence señalan que “la tendencia a involucrar a clientes finales en campañas de extorsión va en aumento y exige reforzar la concienciación y los controles de acceso”.

### 7. Implicaciones para Empresas y Usuarios

Para los restaurantes, el incidente supone un doble riesgo: sanciones regulatorias y pérdida de clientes. El RGPD y la nueva directiva NIS2 obligan a notificar brechas de seguridad con inmediatez y a demostrar que existen controles adecuados para proteger datos personales. Los usuarios, por su parte, deben extremar la precaución ante comunicaciones inesperadas y revisar cualquier actividad sospechosa en sus cuentas asociadas a restaurantes.

En el sector, se prevé que este tipo de ataques aceleren la migración a plataformas con mejores garantías de seguridad y compliance, así como la contratación de ciberseguros. El coste medio de una brecha de datos en restauración supera ya los 120.000 euros, según datos de 2023.

### 8. Conclusiones

El ataque contra HungerRush pone de manifiesto la importancia de la seguridad en plataformas POS y la necesidad de adoptar estrategias de ciberresiliencia ante la evolución de las tácticas de extorsión digital. Las empresas del sector deben revisar sus políticas de seguridad, exigir pruebas de cumplimiento a sus proveedores y prepararse para gestionar incidentes que ya no afectan solo a sus sistemas, sino también a la privacidad y confianza de sus clientes.

(Fuente: www.bleepingcomputer.com)