La semana en brechas de seguridad

Norteamérica

Bridgestone

El fabricante japonés de neumáticos Bridgestone confirmó que está investigando un ciberataque que interrumpió las operaciones en algunas de sus instalaciones de fabricación en Norteamérica.

El martes 2 de septiembre de 2025, surgieron informes sobre un incidente de ciberseguridad que afectaba a dos de las instalaciones de producción de BSA en el condado de Aiken, Carolina del Sur. El miércoles, el problema se había extendido a la fábrica canadiense de Bridgestone en Joliette (Quebec).

La empresa afirmó que su equipo de respuesta rápida contuvo la intrusión en sus primeras fases, evitando así el robo de datos de clientes o un compromiso más grave de la red. Bridgestone añadió que, aunque la empresa sufrió algunas interrupciones operativas, incluidos retrasos en la fabricación, las operaciones han vuelto a la normalidad.

Aunque se preguntó a Bridgestone si había habido un ataque de ransomware, la empresa no respondió y, en el momento de redactar esta noticia, ningún grupo había reivindicado el ataque.

Norteamérica

Navy Federal Credit Union

Unos investigadores de seguridad descubrieron un servidor sin proteger y mal configurado perteneciente a Navy Federal Credit Union (NFCU) que dejaba al descubierto 378 GB de archivos internos. El conjunto de datos incluía información operativa de Tableau, nombres de usuario internos, direcciones de correo electrónico, detalles sobre los roles de los usuarios y, posiblemente, contraseñas y claves cifradas.

No se encontraron datos de clientes en texto plano, y la información de los miembros de NFCU no parece haberse visto comprometida. Los archivos expuestos consistían principalmente en libros de trabajo de Tableau y otros documentos internos.

Los investigadores comunicaron el hallazgo a NFCU, y la base de datos quedó protegida en cuestión de horas.

Reino Unido

Jaguar Land Rover

Jaguar Land Rover (JLR) ha suspendido la producción en varios centros tras un ciberataque que se infiltró en sus sistemas informáticos internos, y se espera que las interrupciones duren hasta octubre. Miles de trabajadores de las plantas de JLR en Halewood, Solihull y Wolverhampton. JLR de Halewood, Solihull y Wolverhampton, se les ha pedido que se queden en casa hasta que se resuelva el problema, aunque seguirán cobrando. Pausas similares afectan a las operaciones de JLR en Eslovaquia, Brasil e India.

Aunque los concesionarios y talleres siguen abiertos, también se han visto afectados proveedores como WHS Plastics, Evtec, OPmobility y SurTec.

Un canal de Telegram vinculado a los grupos de piratas informáticos Scattered Spider, Lapsus$ y ShinyHunters ha publicado capturas de pantalla de lo que parecen ser los sistemas internos de JLR. Se sospecha que Scattered Spider, anteriormente vinculado a ataques contra M&S, Co-op y Harrods, está implicado.

Norteamérica

Deriva de ventas

Cloudflare, Zscaler y Palo Alto Networks confirmaron esta semana que se vieron afectadas por una campaña de hacking que explotaba las integraciones con Salesloft Drift, una plataforma de IA conectada a los sistemas de Salesforce. La campaña, atribuida al actor de amenazas UNC6395, se desarrolló entre el 8 y el 18 de agosto y podría haber afectado a más de 700 empresas.

Salesloft ha informado de que los atacantes utilizaron credenciales robadas para sustraer datos de clientes a través de su herramienta de chatbot Drift, adquirida el año pasado. Aunque Salesforce desconectó Salesloft como medida de precaución, la empresa ha señalado que no ha detectado indicios de actividad maliciosa dentro de la propia plataforma.

Cloudflare describió el incidente como un sofisticado ataque a la cadena de suministro dirigido a las integraciones entre empresas. La empresa encontró 104 tokens de API entre los datos robados, todos ellos ya renovados, y advirtió de que la información de los clientes compartida en los tickets de asistencia, incluidos los registros, los tokens o las contraseñas, debe considerarse comprometida.

Google advirtió que el alcance de la campaña se extiende más allá de la integración Salesforce-Salesloft y aconsejó a todos los clientes de Salesloft Drift que trataran los tokens de autenticación como potencialmente comprometidos.

Se cree que este suceso no está relacionado con el actual ataque a Salesforce que ha afectado a muchas grandes empresas.

Norteamérica

Lovesac

La cadena de tiendas de muebles Lovesac ha confirmado una filtración de datos tras detectar actividad sospechosa en su sistema interno de correo electrónico el 30 de mayo de 2025. La investigación reveló que una persona no autorizada accedió a la cuenta de correo electrónico de un empleado entre el 27 y el 30 de mayo de 2025, dejando al descubierto datos confidenciales contenidos en los correos electrónicos y los archivos adjuntos, entre los que se incluyen nombres y números de la Seguridad Social.

El grupo de ransomware RansomHub reivindicó la autoría del ataque, alegando que había robado 40 GB de datos de la empresa y amenazó con publicarlos en la dark web. Lovesac comenzó a notificar por correo a las personas afectadas el 4 de septiembre de 2025 y también denunció el incidente ante varias fiscalías generales estatales. La empresa no ha revelado cuántas personas se vieron afectadas, aunque la cifra podría ascender a varios miles.

Norteamérica

Wealthsimple

Wealthsimple, un banco y empresa de inversión en línea con sede en Toronto, ha revelado una brecha de ciberseguridad vinculada a un paquete de software de un proveedor externo. Wealthsimple reveló que la brecha se detectó el 30 de agosto de 2025. El incidente expuso información sensible de los clientes, incluidos números de la Seguridad Social, números de cuenta, datos de contacto, direcciones IP y fechas de nacimiento.

Menos del 1 % de los clientes de Wealthsimple se vieron afectados, y todos ellos fueron informados directamente. La empresa afirmó que la filtración se controló en cuestión de horas, que no se accedió a ningún fondo, que las contraseñas no se vieron comprometidas y que las cuentas siguen estando seguras.

Wealthsimple no ha dado el nombre del proveedor implicado ni ha compartido más detalles técnicos sobre la intrusión.