AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Ciberataque a proveedor de Korean Air expone datos de miles de empleados tras brecha en KC&D**

admin

### 1. Introducción

El reciente ciberataque dirigido contra Korean Air Catering & Duty-Free (KC&D), proveedor de servicios de cátering y duty-free de Korean Air, ha desencadenado una fuga masiva de datos que afecta a miles de empleados de la aerolínea surcoreana. Este incidente pone de manifiesto la creciente amenaza que supone la cadena de suministro para la seguridad de las organizaciones, especialmente en sectores críticos como la aviación. El ataque, que se produjo a través de la infraestructura de KC&D, antigua filial de Korean Air, ilustra la necesidad de estrategias de defensa en profundidad y de una gestión rigurosa de terceros.

### 2. Contexto del Incidente

Korean Air, una de las principales aerolíneas asiáticas, confirmó que KC&D, empresa responsable de los servicios de cátering a bordo y de la gestión de tiendas libres de impuestos, sufrió un acceso no autorizado a sus sistemas. Aunque KC&D opera de forma independiente desde su escisión en 2021, mantiene una estrecha relación contractual con la aerolínea, incluyendo la gestión de datos relacionados con el personal y operaciones críticas.

El incidente se detectó a principios de junio de 2024, cuando KC&D notificó a Korean Air la presencia de actividad anómala en sus sistemas internos. Una vez confirmado el compromiso, se activaron los protocolos de respuesta ante incidentes y se inició una investigación forense con la colaboración de firmas especializadas en ciberseguridad y las autoridades surcoreanas.

### 3. Detalles Técnicos

#### 3.1 CVE y vectores de ataque

Aunque la investigación sigue en curso, las primeras evidencias apuntan a la explotación de una vulnerabilidad conocida en servidores de Microsoft Exchange (CVE-2023-23397), utilizada previamente por grupos de amenazas avanzadas (APT) para obtener acceso inicial en entornos corporativos. A través de técnicas de spear phishing, los atacantes lograron desplegar cargas maliciosas que permitieron la ejecución remota de código y el movimiento lateral dentro de la red de KC&D.

#### 3.2 TTP y frameworks utilizados

El análisis preliminar de la intrusión revela el uso de herramientas post-explotación como Cobalt Strike y la implementación de técnicas MITRE ATT&CK, incluyendo:

– **T1078 (Valid Accounts):** Uso de credenciales robadas para acceder a sistemas internos.
– **T1021.001 (Remote Services: Remote Desktop Protocol):** Movimiento lateral mediante RDP.
– **T1041 (Exfiltration Over C2 Channel):** Exfiltración de datos hacia servidores controlados por los atacantes.

Los indicadores de compromiso (IoC) identificados incluyen direcciones IP asociadas a infraestructura maliciosa previamente vinculada a grupos APT activos en la región Asia-Pacífico, así como hashes de malware relacionados con variantes de ransomware y stealer.

#### 3.3 Datos comprometidos

Según la información proporcionada por Korean Air, los datos expuestos incluyen nombres, apellidos, números de identificación de empleado, direcciones de correo electrónico corporativo y, en algunos casos, información de contacto personal. Se estima que más de 8.000 empleados se han visto afectados.

### 4. Impacto y Riesgos

La brecha representa un riesgo elevado para la privacidad y seguridad de los empleados, abriendo la puerta a ataques de ingeniería social, campañas de phishing dirigidas y posibles fraudes de identidad. Además, la exposición de información relacionada con procesos internos podría facilitar futuros ataques dirigidos contra la infraestructura de Korean Air y otros socios de la cadena de suministro.

Desde una perspectiva de cumplimiento, la fuga supone una potencial vulneración de la Ley de Protección de Información Personal de Corea del Sur (PIPA), así como de las obligaciones impuestas por el Reglamento General de Protección de Datos (GDPR) europeo, dado que Korean Air mantiene operaciones internacionales.

### 5. Medidas de Mitigación y Recomendaciones

Korean Air y KC&D han implementado una serie de acciones inmediatas, incluyendo:

– Desconexión de los sistemas afectados y rotación de credenciales.
– Revisión exhaustiva de los logs de acceso y endpoints comprometidos.
– Despliegue de soluciones EDR (Endpoint Detection and Response) para la monitorización continua.
– Notificación a los empleados afectados y activación de servicios de protección de identidad.

Se recomienda a todas las organizaciones del sector:

– Auditar los accesos de terceros y reforzar los controles de seguridad en la cadena de suministro.
– Implantar segmentación de red y políticas de mínimo privilegio.
– Actualizar y parchear sistemas críticos, especialmente servidores de correo y aplicaciones expuestas.
– Realizar simulacros de respuesta ante incidentes y formación continua en ciberseguridad para el personal.

### 6. Opinión de Expertos

Sung-Ho Kim, analista senior en ciberseguridad en el sector de aviación, advierte: “Este incidente refuerza la tendencia emergente de ataques a la cadena de suministro, donde los proveedores se convierten en el eslabón más débil. La colaboración estrecha y la transparencia en la respuesta son claves para mitigar el impacto y prevenir la propagación.”

Por su parte, Laura Gómez, consultora de cumplimiento en entorno GDPR, señala: “Las compañías internacionales deben revisar de forma proactiva los acuerdos de procesamiento de datos con sus proveedores y garantizar que las transferencias cumplen con los requisitos de notificación y reporte ante autoridades regulatorias.”

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, este incidente evidencia la necesidad de fortalecer la seguridad a lo largo de toda la cadena de suministro, no solo en la infraestructura propia. Los departamentos de IT y seguridad deben priorizar la evaluación de riesgos de proveedores y la integración de controles de acceso robustos.

Para los empleados afectados, es fundamental estar alerta ante posibles intentos de suplantación de identidad y revisar con regularidad el acceso a cuentas corporativas y personales.

### 8. Conclusiones

La brecha sufrida por KC&D, proveedor clave de Korean Air, subraya la importancia de una gestión integral de la ciberseguridad que trascienda las fronteras organizativas. Las amenazas a la cadena de suministro seguirán creciendo y exigen una respuesta coordinada, tanto desde el punto de vista técnico como regulatorio. El reforzamiento de controles, la monitorización continua y la formación del personal constituyen las mejores defensas para mitigar el impacto de incidentes similares en el futuro.

(Fuente: www.bleepingcomputer.com)