AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Grave vulnerabilidad en Companies House expone datos corporativos durante meses en Reino Unido**

admin

### Introducción

El pasado viernes, Companies House, el organismo gubernamental encargado del registro de todas las empresas en el Reino Unido, se vio obligado a suspender temporalmente su servicio WebFiling tras la detección de una grave vulnerabilidad de seguridad. Este fallo, activo al menos desde octubre de 2023, dejó expuesta información sensible de miles de entidades registradas, generando alarma entre los profesionales de la ciberseguridad y evidenciando las carencias en la protección de infraestructuras críticas.

### Contexto del Incidente

Companies House gestiona uno de los registros mercantiles más importantes del mundo, siendo responsable de almacenar y procesar información de más de 4,5 millones de empresas. Su plataforma WebFiling permite a las organizaciones realizar trámites societarios online, incluyendo la presentación de cuentas, el registro de nuevas empresas y la actualización de datos directivos.

El incidente se desencadenó tras el hallazgo de una vulnerabilidad en WebFiling que, según fuentes oficiales, permanecía activa desde octubre de 2023. Durante este periodo, actores no autorizados pudieron acceder a información confidencial de empresas, incluyendo datos personales de directivos, direcciones, documentos societarios y potencialmente información bancaria asociada a las cuentas de las compañías.

La agencia suspendió el acceso al sistema el viernes para implementar una solución de emergencia, restableciendo el servicio tras varias horas de mantenimiento y revisión exhaustiva.

### Detalles Técnicos del Fallo

Aunque Companies House no ha publicado aún el identificador CVE asociado al fallo, fuentes cercanas al incidente apuntan a una vulnerabilidad de tipo **Insecure Direct Object Reference (IDOR)** en la API de WebFiling. Esta falla permitía manipular parámetros de identificación de documentos en las solicitudes HTTP, accediendo así a expedientes de otras empresas sin la debida autenticación.

Los vectores de ataque identificados corresponden a la técnica T1078 (“Valid Accounts”) y T1087 (“Account Discovery”) del framework MITRE ATT&CK, al explotar insuficiencias en los controles de autorización. Se ha detectado actividad automatizada basada en herramientas como **Burp Suite** y scripts personalizados en Python para el scraping masivo de datos.

Indicadores de compromiso (IoC) identificados incluyen patrones anómalos de acceso a endpoints de la API, direcciones IP vinculadas a servicios de anonimato y un incremento en la descarga de ficheros PDF y CSV fuera del horario habitual.

No se conocen exploits públicos en frameworks como Metasploit al cierre de esta edición, pero la naturaleza trivial del fallo sugiere que podría ser replicado fácilmente por actores con conocimientos intermedios en pentesting.

### Impacto y Riesgos

El alcance de la brecha es significativo: estimaciones preliminares indican que hasta el 70% de las empresas activas en el registro pudieron ver comprometida información sensible. El riesgo inmediato reside en el posible uso de estos datos para campañas de spear phishing, fraude corporativo, suplantación de identidad de directivos y ataques de ingeniería social.

Desde una perspectiva legal, el incidente coloca a Companies House bajo el escrutinio del **Reglamento General de Protección de Datos (GDPR)** y de la inminente **Directiva NIS2**, con sanciones potenciales que podrían alcanzar el 4% de su volumen de negocio anual. El fallo también pone en entredicho la fiabilidad del sistema WebFiling como infraestructura crítica nacional.

### Medidas de Mitigación y Recomendaciones

Tras la detección de la vulnerabilidad, Companies House ha desplegado los siguientes controles:

– Implementación de validación estricta de permisos en todos los endpoints de la API.
– Auditoría forense de logs y notificación a las empresas potencialmente afectadas.
– Refuerzo de la autenticación multifactor (MFA) y monitorización de accesos anómalos.
– Actualización de las políticas de desarrollo seguro y revisión de seguridad en ciclo DevSecOps.
– Coordinación con el **National Cyber Security Centre (NCSC)** y la **Information Commissioner’s Office (ICO)** para el seguimiento del incidente.

Se recomienda a las empresas usuarias revisar sus cuentas de WebFiling, activar MFA, monitorizar intentos de suplantación y extremar la vigilancia ante comunicaciones sospechosas.

### Opinión de Expertos

Especialistas en ciberseguridad como Kevin Beaumont y miembros de la comunidad CREST han advertido que este tipo de fallos son habituales en sistemas legacy sin revisiones periódicas de seguridad. “El problema no es solo técnico, sino de gobernanza y falta de integración de auditorías de seguridad continuas en plataformas críticas”, afirma Beaumont.

Por su parte, la consultora NCC Group sugiere la adopción urgente de frameworks de Zero Trust y la realización de pruebas de penetración regulares, especialmente en organismos públicos que gestionan grandes volúmenes de datos personales y societarios.

### Implicaciones para Empresas y Usuarios

El incidente pone de relieve la necesidad de evaluar la exposición de las cadenas de suministro digital y de exigir responsabilidades más estrictas a los proveedores de servicios públicos. Para los equipos de seguridad corporativa, se recomienda incorporar la monitorización de registros públicos a sus estrategias de threat intelligence y preparar respuestas ante posibles fraudes derivados de la exposición de datos.

A nivel de cumplimiento, las empresas deben documentar su análisis de impacto y, en caso de detectar afectación, proceder a la notificación a la ICO y a sus clientes según lo estipulado por el GDPR.

### Conclusiones

La brecha de seguridad en Companies House evidencia las vulnerabilidades inherentes a las plataformas de servicios públicos digitales y refuerza la urgencia de adoptar políticas de seguridad proactivas, auditorías regulares y frameworks de gestión de acceso robustos. La transparencia en la comunicación y la colaboración entre organismos regulatorios y empresas afectadas serán clave para minimizar el impacto y restaurar la confianza en la infraestructura digital británica.

(Fuente: www.bleepingcomputer.com)