AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Filtración Masiva en Navia Benefit Solutions Expone Datos Sensibles de 2,7 Millones de Personas**

admin

### 1. Introducción

Navia Benefit Solutions, Inc., proveedor especializado en servicios de administración de beneficios para empleados, ha notificado un incidente de ciberseguridad que ha comprometido la información personal y confidencial de cerca de 2,7 millones de individuos. Este incidente, descubierto recientemente, ha puesto en jaque la seguridad de los datos gestionados por la compañía y plantea graves implicaciones tanto para las organizaciones clientes como para los usuarios finales. El caso subraya la creciente sofisticación de los ataques dirigidos al sector de los servicios administrativos y la importancia de mantener políticas de seguridad robustas y actualizadas.

### 2. Contexto del Incidente

Navia Benefit Solutions gestiona información sensible relacionada con los beneficios de empleados, incluyendo datos personales, financieros y médicos (aunque no sanitarios per se, sí relacionados con prestaciones laborales). El pasado mes de mayo de 2024, la compañía detectó actividad anómala en sus sistemas, lo que llevó a una investigación interna que confirmó la presencia de actores maliciosos con acceso no autorizado a bases de datos críticas.

El incidente fue comunicado a las autoridades competentes en cumplimiento de la legislación vigente, incluyendo la notificación al Departamento de Salud y Servicios Humanos de EE. UU. (HHS) por la posible exposición de información cubierta por la HIPAA. En el caso de usuarios europeos, la exposición podría tener repercusiones bajo el Reglamento General de Protección de Datos (GDPR).

### 3. Detalles Técnicos

#### CVE y Vectores de Ataque

Aunque Navia no ha publicado detalles exhaustivos sobre la vulnerabilidad específica explotada, fuentes próximas a la investigación apuntan a la explotación de una vulnerabilidad en el software de gestión de archivos, posiblemente relacionada con CVE-2023-34362 (MOVEit Transfer), utilizada ampliamente en ataques recientes de ransomware y exfiltración de datos. Este CVE permite la ejecución remota de código mediante la carga de archivos manipulados que el sistema procesa sin la debida validación.

#### TTPs (MITRE ATT&CK)

Los atacantes emplearon técnicas identificadas en el framework MITRE ATT&CK, incluyendo:
– **Initial Access (T1190)**: Explotación de vulnerabilidades en aplicaciones de acceso público.
– **Persistence (T1136.002)**: Creación de cuentas de usuario maliciosas.
– **Defense Evasion (T1070.004)**: Eliminación de logs para dificultar la trazabilidad.
– **Exfiltration (T1041)**: Transferencia de datos comprimidos a servidores externos.

#### IoCs (Indicadores de Compromiso)

Navia ha compartido con sus clientes y partners técnicos una serie de IoCs, entre los que destacan hashes de archivos sospechosos, direcciones IP asociadas a infraestructura C2 (Command and Control), y patrones de tráfico inusual hacia servicios en la nube ubicados fuera de jurisdicción estadounidense y europea.

#### Herramientas y Frameworks

Se sospecha del uso de frameworks de post-explotación como Cobalt Strike para el movimiento lateral y la exfiltración, así como de scripts personalizados para automatizar la extracción de grandes volúmenes de datos.

### 4. Impacto y Riesgos

La brecha afecta a aproximadamente 2,7 millones de individuos, incluyendo empleados, ex empleados y beneficiarios de organizaciones clientes de Navia. Los datos comprometidos incluyen nombres completos, direcciones, fechas de nacimiento, números de la Seguridad Social, información bancaria y detalles de planes de beneficios. La exposición de estos datos incrementa significativamente el riesgo de robo de identidad, fraudes financieros y ataques de spear phishing dirigidos.

Desde el punto de vista reputacional y regulatorio, Navia enfrenta posibles sanciones económicas bajo GDPR y, si se confirma la pérdida de datos de ciudadanos europeos, la exposición a multas que pueden alcanzar el 4% de su facturación anual global. En Estados Unidos, el incumplimiento de la HIPAA y otras normativas estatales podría derivar en demandas colectivas y sanciones administrativas adicionales.

### 5. Medidas de Mitigación y Recomendaciones

Navia ha procedido a la revocación de credenciales afectadas, la revisión exhaustiva de logs y la implementación de monitorización reforzada en todos los accesos a plataformas sensibles. Además, se recomienda a los clientes:

– **Actualizar y parchear todos los sistemas expuestos**: Especialmente aquellos que utilicen soluciones de transferencia de archivos conocidas por vulnerabilidades recientes.
– **Auditoría continua de accesos y revisiones de logs**: Para detectar actividad anómala o no autorizada.
– **Despliegue de MFA** (autenticación multifactor) en todos los sistemas críticos.
– **Campañas de concienciación** para usuarios finales, alertando sobre posibles intentos de phishing.
– **Revisión de acuerdos de procesamiento de datos** para asegurar el cumplimiento normativo.

### 6. Opinión de Expertos

Expertos del sector, como el analista de amenazas Daniel López (S21sec), subrayan que “el incidente de Navia es representativo del auge de ataques dirigidos a proveedores de servicios que almacenan información altamente sensible. La tercerización de datos multiplica la superficie de ataque y exige una diligencia técnica y contractual mucho mayor por parte de las empresas”.

Por su parte, la consultora KPMG advierte que la tendencia de ataques de exfiltración masiva y doble extorsión (robo de datos y posterior amenaza de publicación) continuará al alza en 2024, especialmente en el ámbito de servicios empresariales y recursos humanos.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que delegan la gestión de beneficios en Navia deben revisar urgentemente sus contratos y protocolos de respuesta a incidentes, así como notificar a los afectados conforme a la legislación aplicable (GDPR, NIS2, CCPA, etc.). Es fundamental ofrecer servicios de monitorización de crédito y soporte ante posibles fraudes a los afectados.

Para los usuarios, se recomienda la vigilancia activa de cuentas bancarias, el uso de alertas de fraude y la actualización de contraseñas en todos los servicios vinculados.

### 8. Conclusiones

La brecha sufrida por Navia Benefit Solutions pone de manifiesto la criticidad de proteger la cadena de suministro digital, especialmente en sectores con alta concentración de datos sensibles. El incidente destaca la urgencia de aplicar controles técnicos avanzados, reforzar la cultura de ciberseguridad y exigir mayores garantías a los proveedores en materia de privacidad y cumplimiento normativo.

(Fuente: www.bleepingcomputer.com)