AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Workday revela brecha de datos tras ataque de ingeniería social a plataforma CRM de terceros**

admin

### Introducción

El proveedor global de soluciones para recursos humanos, Workday, ha confirmado recientemente una brecha de datos significativa que afecta a sus clientes tras un ataque de ingeniería social dirigido a un sistema de gestión de relaciones con clientes (CRM) operado por un tercero. El incidente subraya la creciente sofisticación de las amenazas dirigidas a la cadena de suministro digital y plantea interrogantes críticos sobre la seguridad de los datos sensibles gestionados por plataformas SaaS utilizadas en entornos empresariales.

### Contexto del Incidente o Vulnerabilidad

El incidente salió a la luz cuando Workday detectó accesos no autorizados a información almacenada en una plataforma CRM administrada externamente, utilizada para dar soporte y gestionar las relaciones con sus clientes corporativos. Según la declaración oficial de la compañía, los atacantes lograron comprometer las credenciales de empleados del proveedor externo a través de técnicas de ingeniería social, permitiendo el acceso a datos sensibles de clientes de Workday.

Cabe destacar que Workday no ha revelado la identidad del proveedor afectado, aunque fuentes del sector señalan que Salesforce es uno de los CRM más empleados en el ecosistema de Workday. La brecha no involucró acceso directo a los sistemas core ni a la plataforma principal de Workday, sino a un repositorio de información crítica para la gestión comercial y de soporte.

### Detalles Técnicos

Aunque no se ha asignado aún un identificador CVE específico a este incidente, el ataque se enmarca en la técnica **T1566 – Phishing** del framework MITRE ATT&CK, empleando métodos de ingeniería social para obtener credenciales válidas. La cadena de ataque se completa con la técnica **T1078 – Valid Accounts**, mediante la cual los actores de amenazas acceden a sistemas legítimamente tras comprometer cuentas de usuario.

Entre los indicadores de compromiso (IoC) reportados se encuentran:

– Accesos sospechosos desde direcciones IP no habituales.
– Cambios no autorizados en parámetros de autenticación.
– Descargas masivas de registros y archivos adjuntos asociados a cuentas corporativas.

No se han publicado exploits conocidos ni se ha detectado el uso de frameworks de post-explotación como Cobalt Strike o Metasploit en este incidente, centrándose el ataque en la explotación inicial mediante phishing dirigido.

Las versiones de la plataforma CRM afectada no han sido especificadas, pero se presume que la vulnerabilidad reside en la gestión de credenciales y no en una debilidad técnica del software per se.

### Impacto y Riesgos

El impacto directo incluye el acceso no autorizado a datos personales y corporativos gestionados por Workday, como nombres, direcciones de correo electrónico, información de contacto y, potencialmente, detalles sobre acuerdos comerciales. El número exacto de organizaciones afectadas no ha sido revelado, aunque Workday cuenta con más de 10.000 clientes a nivel mundial, implicando un alcance potencialmente masivo.

Desde la perspectiva de cumplimiento normativo, el incidente podría activar obligaciones bajo el **Reglamento General de Protección de Datos (GDPR)** y la **Directiva NIS2**, especialmente para aquellas organizaciones europeas cuyos datos hayan sido expuestos. Los riesgos secundarios incluyen ataques de spear phishing, suplantación de identidad y posibles campañas de compromiso de correo electrónico empresarial (BEC).

### Medidas de Mitigación y Recomendaciones

Workday y el proveedor afectado han procedido a:

– Restablecer de forma inmediata las credenciales comprometidas.
– Revisar los registros de acceso y las configuraciones de seguridad del CRM.
– Implementar autenticación multifactor (MFA) reforzada para todo el personal con acceso a datos sensibles.
– Notificar proactivamente a los clientes afectados y a las autoridades regulatorias pertinentes.

Se recomienda a todas las organizaciones:

– Auditar los accesos y permisos concedidos a terceros en sus plataformas SaaS.
– Realizar campañas internas de concienciación sobre ingeniería social y phishing.
– Monitorizar posibles intentos de suplantación de identidad derivados de la fuga de datos.
– Revisar los acuerdos contractuales con proveedores para garantizar cláusulas de notificación y respuesta ante incidentes.

### Opinión de Expertos

Especialistas como Kevin Beaumont, experto en ciberdefensa, subrayan que “la seguridad de la cadena de suministro digital es ahora la principal superficie de ataque para grandes corporaciones”. Por su parte, analistas de Gartner advierten que el 60% de los incidentes en SaaS durante 2024 estarán relacionados con accesos indebidos vía terceros, más que con vulnerabilidades técnicas intrínsecas.

El incidente de Workday ilustra cómo la ingeniería social sigue siendo uno de los vectores de ataque más efectivos, y cómo la falta de visibilidad sobre los controles de seguridad de proveedores externos puede aumentar el riesgo residual de las organizaciones.

### Implicaciones para Empresas y Usuarios

Para los responsables de ciberseguridad, este incidente es un recordatorio contundente de la necesidad de aplicar un enfoque de “Zero Trust” también en la relación con terceros. Las organizaciones deben exigir niveles de seguridad equivalentes a los suyos a todos los proveedores externos y realizar auditorías periódicas de los controles de acceso y respuesta ante incidentes.

Los usuarios finales y empleados deben ser informados sobre posibles campañas de phishing derivadas del incidente y estar atentos a comunicaciones sospechosas que puedan aprovechar la información filtrada.

### Conclusiones

La brecha de datos sufrida por Workday a través de un proveedor de CRM pone de manifiesto la vulnerabilidad inherente a la cadena de suministro digital y la importancia estratégica de los controles de acceso, la formación en ingeniería social y la monitorización continua de la actividad en plataformas críticas. En un contexto marcado por nuevas normativas como NIS2 y la presión de cumplimiento del GDPR, las empresas deben reforzar sus políticas de seguridad para mitigar los riesgos derivados de terceros y garantizar la resiliencia de su infraestructura SaaS.

(Fuente: www.bleepingcomputer.com)