**Robo de Datos en un Servidor Legacy de IMA Diligence Services Expone a 525.000 Personas**

—

### 1. Introducción

El sector de los servicios de diligencia debida enfrenta actualmente una importante brecha de seguridad tras el reciente incidente que ha afectado a IMA Diligence Services. Un servidor obsoleto, gestionado por un proveedor externo, ha sido el punto de entrada de un ciberataque que ha comprometido los datos personales de más de medio millón de personas. Este incidente subraya la necesidad de mantener controles robustos sobre infraestructuras heredadas y la importancia de la gestión de terceros en la cadena de suministro digital.

—

### 2. Contexto del Incidente

IMA Diligence Services, filial de IMA Financial Group, es una organización especializada en la prestación de servicios de diligencia debida, auditoría y consultoría para clientes empresariales. A finales de mayo de 2024, la compañía detectó accesos no autorizados a un servidor antiguo (legacy server) aún bajo control de un tercero. Las primeras investigaciones señalan que los atacantes lograron extraer información personal sensible correspondiente a aproximadamente 525.000 individuos. El servidor comprometido, aunque en proceso de desmantelamiento, contenía historiales de clientes y empleados derivados de auditorías pasadas.

A pesar de la tendencia creciente a migrar hacia infraestructuras cloud y soluciones SaaS, muchas organizaciones mantienen servidores legacy por razones de compatibilidad o requisitos regulatorios, lo que incrementa la superficie de ataque y complica la gestión de la seguridad.

—

### 3. Detalles Técnicos

Las investigaciones preliminares indican que el acceso se produjo mediante la explotación de vulnerabilidades conocidas presentes en el sistema operativo desactualizado del servidor legacy. Aunque no se ha hecho público un CVE específico, la naturaleza del ataque sugiere la explotación de servicios expuestos sin parches críticos, posiblemente a través de vectores como RDP (Remote Desktop Protocol) o SMB (Server Message Block).

Los TTP identificados se alinean con las técnicas MITRE ATT&CK siguientes:

– **Initial Access (TA0001):** Explotación de servicios remotos vulnerables (T1133).
– **Credential Access (TA0006):** Dumping de credenciales mediante herramientas como Mimikatz (T1003).
– **Exfiltration (TA0010):** Exfiltración a través de canales cifrados o servicios cloud (T1041).

Indicadores de compromiso (IoC) asociados incluyen hashes de archivos maliciosos, direcciones IP anómalas y patrones de tráfico inusuales hacia servidores C2 (Command & Control). Según fuentes internas, se detectaron artefactos relacionados con frameworks ampliamente utilizados como Cobalt Strike y posibles intentos de movimiento lateral mediante PsExec.

—

### 4. Impacto y Riesgos

El impacto directo afecta, principalmente, a la confidencialidad de los datos personales de 525.000 individuos, incluyendo nombres, direcciones, fechas de nacimiento, números de identificación y posiblemente información financiera vinculada a los servicios de diligencia debida. Este volumen de datos expuestos incrementa el riesgo de fraudes de identidad, ataques de phishing dirigidos y suplantación.

Desde el punto de vista de la empresa, el incidente puede derivar en sanciones legales sustanciales bajo el marco del GDPR, dadas las obligaciones de notificación y protección de datos personales. Además, la reputación de IMA Diligence Services y la confianza de sus clientes se ven seriamente comprometidas, lo que podría traducirse en pérdidas económicas y contratos rescindidos.

—

### 5. Medidas de Mitigación y Recomendaciones

Tras detectar la intrusión, IMA Diligence Services procedió a aislar el servidor afectado, colaborar con proveedores forenses y notificar a las autoridades competentes. Las siguientes acciones son recomendadas para organizaciones con infraestructuras similares:

– **Inventario y segmentación de sistemas legacy.**
– **Aplicación inmediata de parches críticos o, en su defecto, aislamiento de sistemas no actualizables.**
– **Desactivación de servicios y puertos no esenciales (RDP, SMB).**
– **Implementación de monitorización continua y detección de anomalías (EDR/NDR).**
– **Revisión y control exhaustivo de proveedores externos con acceso a sistemas críticos.**
– **Simulación de ataques (red teaming) y ejercicios de respuesta a incidentes.**

En el caso de usuarios afectados, se recomienda vigilancia sobre movimientos bancarios, cambio de contraseñas y precaución ante comunicaciones sospechosas.

—

### 6. Opinión de Expertos

Especialistas en ciberseguridad consultados coinciden en que la gestión de sistemas legacy es uno de los mayores retos actuales para los CISOs. “Las organizaciones tienden a subestimar el riesgo de servidores heredados, especialmente cuando estos quedan bajo la gestión de terceros y fuera del perímetro habitual de control”, apunta Raúl Hernández, analista de amenazas en una firma europea. Además, subraya la importancia de integrar la gestión de proveedores y la evaluación de riesgos en la estrategia global de ciberseguridad.

—

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente refuerza la urgencia de revisar contratos con terceros y exigir garantías sobre la seguridad de los datos gestionados externamente, conforme a los requerimientos de las normativas NIS2 y GDPR. Los procesos de due diligence digital y auditoría de proveedores deben ser continuos, no solo en fases de onboarding.

Para los usuarios, la exposición de datos personales incrementa la superficie de ataque para futuros fraudes y extorsiones. Es fundamental concienciar sobre la importancia de la protección de la identidad digital y la vigilancia activa frente a posibles abusos.

—

### 8. Conclusiones

El caso de IMA Diligence Services es un ejemplo paradigmático de los riesgos asociados a la gestión deficiente de infraestructuras legacy y a la falta de control sobre proveedores externos. La rápida identificación y notificación del incidente mitiga parcialmente el daño, pero subraya la necesidad de estrategias proactivas y de una colaboración efectiva en la cadena de suministro digital. La evolución normativa y las tendencias del mercado exigen una revisión constante de la postura de seguridad y de los acuerdos con terceros para evitar futuras brechas de esta magnitud.

(Fuente: www.securityweek.com)