Un descuido en la seguridad de varios portales internos de Intel terminó abriendo la puerta a una de las filtraciones más graves que se han reportado en la compañía en los últimos años. Según la investigación de Eaton Works, más de 270,000 empleados de Intel quedaron expuestos junto con información sensible de proveedores.
¿Qué pasó con los portales de Intel?
Se descubrieron cuatro aplicaciones web internas con fallos críticos que permitían a cualquiera con conocimientos básicos acceder a datos internos sin autorización. Entre los problemas se encontraron:
- Saltos en la autenticación del lado del cliente (bastaba con modificar el JavaScript para entrar).
- Credenciales incrustadas en el código de acceso a servicios internos.
- Validaciones inexistentes en el servidor, lo que permitía falsificar tokens.
- Claves de API y accesos a GitHub expuestos en sistemas de gestión de productos.
Estos descuidos facilitaron a un investigador descargar bases completas de datos de empleados y proveedores, sin necesidad de romper cifrados complejos ni explotar vulnerabilidades sofisticadas.
Propietario de la jerarquía (Fuente: Cyber Security News)
Ejemplos de las brechas más graves
Uno de los casos más llamativos fue un portal para que los empleados de Intel India solicitaran tarjetas de presentación. Bastaba un cambio en el código del sitio para saltarse el login corporativo de Microsoft Azure.
Una vez dentro, había una API abierta que generaba tokens válidos y permitía consultar la base completa de empleados. El resultado: un archivo de casi 1 GB con nombres, cargos, correos, teléfonos y datos de jerarquía interna de Intel a nivel global.
En otro portal, dedicado a la gestión de productos, se encontraron contraseñas cifradas con una clave AES ridículamente débil: 1234567890123456. En minutos se podían descifrar y acceder a la misma base de datos de empleados.
Y en el sistema Supplier EHS IP Management System (SEIMS), diseñado para trabajar con proveedores y manejar acuerdos de confidencialidad (NDAs), el fallo fue aún más absurdo: el backend aceptaba como token válido la cadena “Not Autorized” (sí, con la palabra mal escrita). Con eso, se podía ver información confidencial de proveedores y propiedad intelectual.
Cifrado (Fuente: Cyber Security News)
¿Cómo respondió Intel?
El investigador reportó los fallos en octubre de 2024 bajo el programa de bug bounty de Intel. Sin embargo, la política de la compañía no recompensa errores en su infraestructura web, así que solo recibió una respuesta automática.
Lo positivo: Antes de los 90 días del plazo de divulgación, Intel corrigió todos los fallos. Lo negativo: la magnitud de la filtración ya había expuesto a cientos de miles de empleados y a sus socios estratégicos.
Respuesta de correo electrónico (Fuente: Cyber Security News)
Conoce más: Privacidad de Clientes de AT&T en Riesgo: Filtración de Datos
Lecciones de este caso
Aunque no se filtraron datos financieros directos como números de seguridad social o salarios, la exposición de información personal y corporativa a esta escala es un recordatorio de que hasta los gigantes tecnológicos pueden cometer errores básicos de seguridad.
En TecnetOne lo decimos claro: no importa el tamaño de tu empresa, los descuidos en la seguridad de aplicaciones internas pueden tener consecuencias desastrosas. La validación en el servidor, la correcta gestión de credenciales y un monitoreo continuo no son opcionales, son indispensables.