Dada la inmensa cantidad de datos que manejan las empresas hoy en día, la ciberseguridad no es un tema que tomarse a la ligera. Y si no, que se lo digan a Lastpass, una empresa que ha sufrido serios problemas y que le ha costado la reputación. Y no son, ni serán, los únicos. Al parecer, el fabricante japonés Toyota, ha sufrido una brecha grave de seguridad que le puede costar caro, ya que el error se ha extendido por más de diez años.
Una brecha de más de 10 años
Los datos de más de dos millones de clientes de Toyota en Japón estuvieron «a disposición del público» durante diez años, debido a un error de configuración de la nube, según ha revelado la empresa.
El fabricante de automóviles afirma que alrededor de 2,15 millones de clientes pueden haberse visto afectados por la filtración, que puso en peligro los datos entre noviembre de 2013 y abril de este año. Toyota dijo que la filtración se debió a un error de configuración en su entorno en la nube y fue causada por un error humano.
Se cree que un trabajador de la empresa configuró el nivel de acceso a un sistema en la nube como «público» en lugar de «privado«, por lo que quedaron expuestos datos relativos a la ubicación y los números de identificación de los vehículos.
Los servicios premium, también afectados
Los clientes de la red T-Connect de Toyota se encuentran entre los afectados por el incidente, junto con los usuarios de G-Link. G-Link es un servicio para propietarios de vehículos Lexus que ofrece servicios premium y funciones de ayuda en caso de emergencia.
Un portavoz de Toyota dijo que no ha habido indicios de actividad maliciosa debido a la filtración de datos. La empresa insistió en que tomó medidas inmediatas para bloquear el acceso a los datos afectados después de que se revelara el problema.
También se está llevando a cabo una revisión exhaustiva de la forma en que la empresa supervisa sus entornos en la nube en todas sus operaciones mundiales. «La información del cliente que pueda haber sido vista desde el exterior no identificará al cliente basándose únicamente en estos datos, aunque se acceda a ellos desde el exterior«, dijo un portavoz.
Prevenir, mejor que curar
Tras el incidente, la empresa tiene previsto introducir cambios en sus procesos en la nube. El fabricante de vehículos dijo que introducirá sistemas para «auditar y supervisar continuamente la configuración de la nube«. La empresa también formará a fondo a los empleados para mejorar la gestión de los datos.
Gary Cannon, director comercial del área de transporte de NCC Group, explicó que incidentes como el del error de Toyota en la nube son poco comunes, pero que cuando ocurren pueden tener implicaciones desastrosas.
«No es muy común que un miembro interno del personal configure accidentalmente un sistema en la nube como público en lugar de privado. Sin embargo, puede ocurrir, sobre todo si la persona responsable del sistema en la nube no está familiarizada con su configuración, o si tiene prisa por hacer algo».
Gary Cannon, director comercial del área de transporte NCC Group.
Fugas de datos recurrentes en Toyota
Esta última filtración de datos supone el segundo incidente de este tipo para Toyota en el espacio de un año. En octubre de 2022, el fabricante de automóviles reveló que los datos pertenecientes a casi 300.000 clientes quedaron expuestos, después de que una clave de acceso se dejara a disposición del público en GitHub durante unos cinco años.
En aquel momento, Toyota dijo que 296.019 clientes se habían visto afectados por la filtración, que también afectó a su servicio T-Connect.
Este problema se vio agravado por el hecho de que el código fuente filtrado incluía claves de acceso a un servidor que contenía direcciones de correo electrónico de clientes.
Tras el incidente, Toyota advirtió a sus clientes de que se mantuvieran alerta ante una posible avalancha de estafas de phishing.