Una vulnerabilidad de seguridad crítica en el sistema Companies House del Reino Unido ha expuesto los datos personales de los directores de más de 5 millones de empresas registradas. La violación, que salió a la luz el viernes pasado, permitió el acceso no autorizado a información confidencial, incluidas fechas de nacimiento y direcciones residenciales.
La naturaleza del defecto
La falla residía en el sistema WebFiling de Companies House, la plataforma utilizada para registros y actualizaciones oficiales de empresas. Un simple exploit (regresar cuatro veces por el sistema mientras estaba conectado) permitió a los usuarios ver e incluso alterar detalles de otras empresas, incluida la información de contacto del director.
John Hewitt, investigador de Ghost Mail, fue el primero en identificar la vulnerabilidad y la informó a Companies House. El problema se remonta a una actualización implementada en octubre del año pasado.
Impacto y respuesta
Companies House suspendió rápidamente el servicio WebFiling al descubrir la falla y lo restauró el lunes después de implementar una solución. La agencia ahora insta a todas las empresas registradas a verificar sus datos, asegurándose de que no se hayan realizado cambios no autorizados.
El director ejecutivo Andy King enfatizó que si bien existía la vulnerabilidad, actualmente no hay evidencia confirmada de uso indebido de datos. Sin embargo, se está llevando a cabo una investigación en curso, con el apoyo de la Oficina del Comisionado de Información (ICO) y el Centro Nacional de Seguridad Cibernética (NCSC).
Por qué esto es importante
Este incidente pone de relieve el riesgo persistente de violaciones de datos dentro de los sistemas administrados por el gobierno. La información expuesta podría explotarse para robo de identidad, estafas de phishing o acoso dirigido a los directivos de la empresa. La facilidad con la que se desencadenó la falla subraya la necesidad de realizar pruebas de seguridad rigurosas y actualizaciones proactivas en la infraestructura crítica.
“La exposición de tales datos personales plantea importantes preocupaciones sobre la protección de los líderes empresariales y la integridad del registro corporativo del Reino Unido”, comentó un analista de ciberseguridad familiarizado con el caso.
Companies House ha tomado medidas para contener la infracción, pero el incidente sirve como un claro recordatorio de que incluso los sistemas esenciales pueden ser vulnerables a la explotación.
