**Capita sancionada con 14 millones de libras por brecha de datos que expuso la información de 6,6 millones de personas**
—
### Introducción
El sector de los servicios empresariales basados en datos vuelve a estar bajo el foco tras la reciente sanción impuesta a Capita, una de las mayores proveedoras de procesos empresariales en el Reino Unido. La Information Commissioner’s Office (ICO) ha multado a Capita con 14 millones de libras (aproximadamente 18,7 millones de dólares) debido a una grave brecha de seguridad ocurrida en 2023 que comprometió la información personal de 6,6 millones de ciudadanos británicos. Este incidente no solo representa uno de los mayores fallos de protección de datos recientes en Europa, sino que también resalta las crecientes exigencias regulatorias en torno a la ciberseguridad y la privacidad.
—
### Contexto del Incidente
El incidente tuvo lugar en el primer semestre de 2023, cuando Capita detectó actividades anómalas en sus sistemas de almacenamiento y procesamiento de datos. La empresa, que gestiona información sensible para entidades públicas y privadas, incluyendo fondos de pensiones y organismos gubernamentales, identificó que los atacantes accedieron a servidores que contenían datos personales de millones de usuarios. Entre la información afectada se encuentran nombres completos, direcciones, números de la seguridad social y datos financieros asociados a servicios de pensiones.
El ataque generó una oleada de preocupación tanto en el sector público como en el privado, dada la magnitud de la fuga y la naturaleza crítica de los datos comprometidos. Según el informe de la ICO, la respuesta de Capita ante el incidente fue tardía e insuficiente, lo que agravó el impacto y la exposición de los afectados.
—
### Detalles Técnicos
La investigación forense realizada tras la brecha ha revelado que los atacantes explotaron una vulnerabilidad conocida en uno de los entornos de Microsoft Exchange utilizados por Capita (CVE-2021-26855), correspondiente a la vulnerabilidad de ProxyLogon. Este exploit, ampliamente documentado y disponible en frameworks como Metasploit, permite la ejecución remota de código (RCE) sin necesidad de autenticación previa.
Según los artefactos recopilados y los indicadores de compromiso (IoC) publicados por la ICO, los atacantes utilizaron las siguientes tácticas y técnicas, alineadas con el framework MITRE ATT&CK:
– **Initial Access (T1190: Exploit Public-Facing Application):** Uso de ProxyLogon para obtener acceso inicial.
– **Execution (T1059: Command and Scripting Interpreter):** Ejecución de scripts PowerShell para desplegar payloads adicionales.
– **Credential Access (T1003: OS Credential Dumping):** Extracción de credenciales para movimientos laterales.
– **Exfiltration (T1041: Exfiltration Over C2 Channel):** Transferencia de datos a servidores externos controlados por los actores de amenazas.
Aunque no se ha atribuido públicamente la autoría del ataque, la TTP coincide con campañas conocidas de grupos APT (Advanced Persistent Threat) previamente asociados a ataques a infraestructuras críticas.
—
### Impacto y Riesgos
El alcance del incidente ha sido significativo: 6,6 millones de personas se han visto afectadas, incluyendo empleados públicos y beneficiarios de fondos de pensiones. La información expuesta es susceptible de ser utilizada en ataques de ingeniería social, fraudes financieros y suplantación de identidad (phishing y spear phishing).
Además del impacto reputacional y la sanción económica, Capita se enfrenta a posibles litigios civiles y reclamaciones de indemnización por parte de los afectados. El coste total del incidente, según estimaciones preliminares, podría superar los 50 millones de libras considerando la respuesta técnica, auditorías, refuerzo de sistemas y compensaciones.
—
### Medidas de Mitigación y Recomendaciones
La ICO ha subrayado que Capita no aplicó los parches de seguridad críticos publicados por Microsoft meses antes del ataque. Entre las medidas recomendadas para prevenir incidentes similares destacan:
– **Gestión proactiva de vulnerabilidades:** Implementación de sistemas de escaneo y parcheo continuo (Vulnerability Management).
– **Segmentación de redes y control de accesos:** Restricción de privilegios y microsegmentación.
– **Monitorización avanzada:** Uso de soluciones EDR/XDR para la detección temprana de actividades anómalas.
– **Pruebas de penetración periódicas:** Simulación de ataques con frameworks como Metasploit y Cobalt Strike.
– **Planes de respuesta a incidentes:** Actualización y testeo regular, integrando lecciones aprendidas conforme a normativas como NIS2 y GDPR.
—
### Opinión de Expertos
Especialistas en ciberseguridad consultados consideran que el caso de Capita es paradigmático de los riesgos asociados a la gestión de grandes volúmenes de datos en infraestructuras legadas. “La falta de aplicación de parches críticos es un vector de ataque recurrente y evitable, especialmente en organizaciones sometidas a regulación estricta”, afirma David Sánchez, consultor en ciberseguridad y cumplimiento normativo. Asimismo, subrayan la importancia de la concienciación y formación continua, así como la inversión en tecnologías de prevención y detección avanzada.
—
### Implicaciones para Empresas y Usuarios
Para las organizaciones, este incidente recalca la obligación de cumplir con los requisitos del GDPR y la inminente Directiva NIS2, que exige medidas de ciberseguridad más estrictas y sanciones más severas ante fallos de protección. La transparencia y la capacidad de respuesta inmediata son ya factores clave para minimizar el impacto ante una brecha.
Por su parte, los usuarios deben extremar la vigilancia ante posibles intentos de fraude y considerar la adopción de medidas como la monitorización de su crédito o la activación de alertas en servicios financieros.
—
### Conclusiones
La sanción impuesta a Capita constituye un aviso contundente para todas las organizaciones que gestionan información sensible: la falta de una gestión proactiva de vulnerabilidades y la respuesta tardía ante incidentes pueden derivar en consecuencias económicas y reputacionales severas. La alineación con las mejores prácticas, el cumplimiento normativo y la inversión en ciberdefensa avanzada son imprescindibles para mitigar riesgos en el actual entorno de amenazas crecientes.
(Fuente: www.bleepingcomputer.com)