**El compromiso de un sistema de tickets externo expone datos de clientes de Ernst & Young**
—
### 1. Introducción
El gigante global de servicios profesionales Ernst & Young (EY) ha informado a sus clientes sobre una brecha de seguridad que ha resultado en la exposición de información confidencial. El incidente, que afecta a datos gestionados a través de un sistema de gestión de tickets de soporte de un proveedor externo, pone de relieve los riesgos inherentes a la cadena de suministro tecnológica, incluso para firmas con sólidos programas de ciberseguridad. Este artículo desglosa los detalles técnicos y las implicaciones del incidente, así como las mejores prácticas y recomendaciones para los profesionales del sector.
—
### 2. Contexto del Incidente
La brecha fue detectada cuando EY identificó actividades anómalas asociadas a uno de los sistemas de soporte utilizados por su departamento de TI. Este sistema, operado y mantenido por un tercero, es empleado para la gestión y resolución de incidencias técnicas que afectan tanto a empleados como a clientes de la firma. Si bien EY aún no ha divulgado la identidad del proveedor afectado, se sabe que el incidente ha tenido alcance internacional, afectando potencialmente a miles de registros y a clientes en varias jurisdicciones.
El incidente pone de manifiesto la creciente tendencia de los atacantes a explotar debilidades en la cadena de suministro, especialmente a través de soluciones SaaS y plataformas de soporte externalizadas, que suelen ser menos blindadas que los sistemas internos de las grandes corporaciones.
—
### 3. Detalles Técnicos
Aunque EY no ha especificado el vector exacto de la intrusión, fuentes próximas a la investigación y análisis preliminares apuntan a que el acceso no autorizado podría haberse producido mediante la explotación de una vulnerabilidad de día cero en el software del sistema de tickets, posiblemente relacionado con componentes web (por ejemplo, CVE-2023-34362, vinculado a MOVEit Transfer, aunque no confirmado en este caso).
Las TTPs (Tácticas, Técnicas y Procedimientos) observadas se alinean con el framework MITRE ATT&CK, particularmente en los apartados TA0001 (Initial Access), T1190 (Exploit Public-Facing Application) y TA0006 (Credential Access). Se sospecha que el atacante pudo haberse hecho con credenciales administrativas o API keys, lo que le habría permitido acceder y extraer información sensible almacenada en los tickets.
Entre los IoC identificados figuran direcciones IP anómalas, patrones de acceso fuera de horario y movimientos laterales en los logs del sistema de tickets. No se descarta, además, el uso de herramientas como Metasploit o Cobalt Strike para la explotación y post-explotación del entorno comprometido.
—
### 4. Impacto y Riesgos
El alcance de la brecha incluye potencialmente información de identificación personal (PII) de clientes, detalles técnicos de incidencias, logs de actividad, y, en algunos casos, extractos de correspondencia confidencial. EY ha confirmado que la información financiera y los sistemas nucleares no se han visto afectados.
El riesgo principal radica en el posible uso de la información extraída para ataques dirigidos (phishing, ingeniería social, ataques supply chain) o para el desarrollo de exploits específicos basados en vulnerabilidades internas expuestas a través de los tickets.
Dada la naturaleza internacional de EY, el incidente podría tener repercusiones regulatorias bajo normativas como el GDPR europeo y NIS2, con la obligación de notificación a autoridades y afectados, así como la posibilidad de sanciones económicas significativas (multas de hasta el 4% del volumen de negocio anual global, según el GDPR).
—
### 5. Medidas de Mitigación y Recomendaciones
EY ha procedido a la revocación inmediata de credenciales y a la reconfiguración del acceso al sistema de tickets afectado. Asimismo, ha iniciado un análisis forense en colaboración con el proveedor externo y ha desplegado detección avanzada de amenazas (EDR) sobre los endpoints relacionados.
Para minimizar el impacto y evitar futuras brechas, se recomienda a las organizaciones del sector:
– Realizar revisiones periódicas de la seguridad de los proveedores (Third-Party Risk Management).
– Implementar autenticación multifactor (MFA) en todos los accesos a sistemas críticos y de soporte.
– Monitorizar continuamente logs y alertas de comportamiento anómalo.
– Auditar y limitar los datos sensibles incluidos en tickets y comunicaciones con terceros.
– Mantener actualizado el inventario de activos SaaS y realizar pentests regulares sobre estas plataformas.
—
### 6. Opinión de Expertos
Varios analistas de ciberseguridad han señalado que este caso pone de relieve la importancia de la visibilidad y el control sobre los sistemas de terceros. Como apunta Carlos Pérez, CISO de una multinacional tecnológica: “El eslabón más débil de la cadena suele estar fuera de la organización. La confianza ciega en proveedores externos puede traducirse en brechas de gran impacto, especialmente cuando gestionan información sensible de clientes”.
También se destaca la necesidad de controles contractuales y técnicos más estrictos sobre los sistemas gestionados por terceros, en línea con los requisitos de la NIS2 y las mejores prácticas ISO 27001.
—
### 7. Implicaciones para Empresas y Usuarios
Para las empresas, este incidente subraya la necesidad de reforzar la gestión de riesgos de terceros y la resiliencia frente a incidentes en la cadena de suministro digital. El sector está viendo un aumento de ataques a soluciones SaaS y plataformas externas, con un 27% de las brechas en 2023 atribuidas a compromisos de proveedores, según datos de ENISA.
Para los usuarios y clientes de EY, el principal peligro reside en posibles campañas de spear phishing o fraudes derivados del uso de la información filtrada. Se recomienda extremar la vigilancia ante comunicaciones inesperadas y reportar cualquier actividad sospechosa.
—
### 8. Conclusiones
El incidente en EY ilustra los riesgos crecientes asociados a la externalización de servicios críticos y la necesidad de estrictas medidas de ciberseguridad en la cadena de suministro. La adopción de controles técnicos, la formación continua y la colaboración proactiva con proveedores son esenciales para mitigar los riesgos y cumplir con la normativa vigente. El caso servirá, sin duda, como referencia para el sector sobre la importancia de la seguridad third-party y la respuesta ante incidentes.
(Fuente: www.bleepingcomputer.com)
