Para cumplir correctamente con el RGPD es necesario que toda la cadena de suministro que vincula nuestra empresa con fabricantes y clientes sea totalmente segura. Aquí es donde la frase “una cadena es tan fuerte como su eslabón más débil” cobra sentido, para conocer con quién se trabaja.
Y no es “moco de pavo” que grandes de la industria como Tesla y grupo Volkswagen hayan dejado expuestos archivos muy confidenciales. Por culpa a una cadena de suministro ineficiente en cuanto a seguridad.
Los datos con un volumen de nada más y nada menos que 157Gb fueron expuestos por el proveedor de los antes mencionados fabricantes Level One Robotics al utilizar un protocolo de transferencia de archivos Rsync que al parecer no era muy seguro.
Resulta curioso que el FTP donde se subieron los archivos también tenía permisos de escritura públicos.
– ¿Me dice usted que cualquiera que entrara al FTP podía descargar los archivos?
Exacto, además de subir otros, reescribir información, cambiar cuentas de cargo en factura, subir archivos infectados con malware, lo que se puede considerar un despropósito épico.
Durante estos días se han tomado medidas y un grupo de expertos está intentando averiguar el calado que ha podido tener este fallo. Aunque ya han adelantado que es muy difícil saber que modificaciones han realizado en los datos expuestos que se han recopilado en ese FTP durante 10 años. Entre ellos acuerdos de no divulgación, planos de prototipos, cuantas bancarias, y credenciales de trabajadores de LevelOne entre otra información sensible.
Si estos datos han llegado a manos de competidores obteniendo de esta manera una suculenta ventaja posiblemente quede en una incógnita.
También se está sopesando el impacto en seguridad que ha podido (y pueda tener) el acceso de los ciberdelincuentes a fotos personales de trabajadores, fichas completas e información personal. Si esta información podrían usarla con algún fin ilícito.
Este es un caso de los miles que se presentan en todo el planeta, una empresa debe de velar por la seguridad de sus datos. Esto se debe extender a como manipulan esos datos otras empresas de nuestro ecosistema.
Debemos buscar aliados empresariales que estén a la altura de nuestras expectativas en seguridad. Que sean trasparentes y tengan unos controles continuos ya que, de otro modo todo el trabajo que realizamos internamente puede caer en saco roto.