Home > Blog > Informe de (In)seguridad: Fuga de datos en Burger King, Niños Hackers, y un ladrón de 1 millón de dólares en motosierras

Informe de (In)seguridad: Fuga de datos en Burger King, Niños Hackers, y un ladrón de 1 millón de dólares en motosierras

07.10.2025

Volver

Aquí está nuestro último resumen de incidentes inusuales de seguridad impulsados por insiders y otras historias de ciberseguridad que seguimos el mes pasado. En esta edición de septiembre: nuevos detalles en el caso insider de Coinbase, otra plataforma de IA filtrada, y descubrimientos recientes de investigadores en el sector de comida rápida en EE.UU.

Gachas y Contraseñas: Cuando los Estudiantes Se Convierten en Insiders

Qué ocurrió: Más de la mitad de los incidentes de seguridad de la información impulsados por insiders en escuelas del Reino Unido fueron protagonizados por estudiantes.

Cómo ocurrió: El 11 de septiembre de 2025, la Oficina del Comisionado de Información del Reino Unido (ICO) publicó un estudio inusual. La autoridad revisó 215 informes de brechas de datos personales relacionadas con insiders en el sector educativo y concluyó que el 57% fueron obra de los propios alumnos.

Un caso llamativo involucró a un alumno que accedió al sistema de información de la escuela usando las credenciales de un empleado. Una vez adentro, vio, modificó e incluso eliminó datos personales de más de 9.000 personas. Cómo obtuvo las credenciales del empleado aún no está claro, pero las estadísticas de la ICO sugieren que pudo haber sido por un error humano – por ejemplo, dejar una laptop de trabajo sin supervisión.

En otro caso, tres alumnos de sexto grado (!) lograron acceder sin autorización a registros de más de 1.400 estudiantes. Luego admitieron que lo hicieron por curiosidad sobre ciberseguridad y para poner a prueba sus habilidades. Para la intrusión, simplemente descargaron una herramienta pública para saltarse contraseñas desde internet.

La Justicia Los Pilla: Contratista de Coinbase Acusado de Encubrir Brecha Interna

Qué ocurrió: Un socio externo de Coinbase está acusado de encubrir un incidente interno.

Cómo ocurrió: A principios de este año, informamos sobre el caso insider de Coinbase. La plataforma de criptoactivos fue víctima de personal externo que fotografiaba datos de clientes desde sus pantallas y los vendía a criminales – afectando a más de 69.000 personas.

El 16 de septiembre, las víctimas presentaron una demanda colectiva contra TaskUs, la empresa de soporte subcontratada por Coinbase. La denuncia nombra a una empleada, Ashita Mishra, como figura clave. Ella supuestamente comenzó a tomar fotos de datos de clientes en septiembre de 2024, llegando a 200 fotos por día, ganando unos 200 dólares por cada imagen.

Mishra compartió su esquema de "dinero fácil" con colegas, quienes también se sumaron. Según documentos judiciales, la dirección de TaskUs sabía de la actividad ilegal. Los investigadores incluso encontraron más de 10.000 fotos confidenciales de clientes de Coinbase en el teléfono de Mishra.

Cuando salió a la luz el escándalo, TaskUs despidió a todo el equipo que trabajaba con Coinbase, esperando que el tema se disipara. Pero no sucedió: ex empleados filtraron información y ahora la compañía enfrenta acusaciones de encubrimiento intencional.

TaskUs optó por una estrategia de defensa polémica: afirma que solo dos insiders estuvieron involucrados y que algunos empleados de Coinbase también podrían haber sido cómplices. Cómo termina la batalla legal aún no está claro, pero las chances no parecen favorables para TaskUs. Por ahora, la industria observa cómo se desarrolla el drama judicial.

El Inspector de Gadgets: Empleado de TI Roba $1 Millón a su antiguo empleador

Qué ocurrió: Un ex trabajador de TI estafó a su anterior empleador, Milwaukee Electric Tool, robando bienes por más de un millón de dólares.

Cómo ocurrió: Desde marzo de 2024 hasta marzo de 2025, Matthew Young, ex empleado, usó su acceso a los sistemas de TI de la empresa para crear órdenes de compra fraudulentas.

Generaba solicitudes de entrega, hacía que los productos se enviaran a una dirección que controlaba y luego borraba los registros de las órdenes para cubrir sus pasos. Por supuesto, nunca pagó nada.

En total, Young creó y eliminó 115 órdenes. Luego vendió los equipos robados a clientes reales de Milwaukee Electric Tool, embolsándose más de un millón de dólares.

Su esquema se derrumbó cuando colegas notaron anomalías y lo denunciaron. La policía realizó una auditoría interna, interrogó al personal y recuperó los logs de órdenes eliminadas. Young ahora enfrenta 14 cargos. Si es declarado culpable en todos, podría pasar hasta 98 años en prisión y pagar una multa importante.

Fallos en Comida Rápida: Plataforma de Burger King Expuesta con Datos de Empleados y Clientes

Qué ocurrió: Una vulnerabilidad en los sistemas internos de la compañía Restaurant Brands International (RBI), dueña de Burger King, expuso datos de empleados y grabaciones de audio de pedidos de clientes.

Cómo ocurrió: El hacker ético BobDaHacker, ya conocido por descubrimientos previos en el sector alimenticio, se unió con “BobTheShoplifter” para explorar los sistemas de RBI. RBI es dueño de Burger King, Tim Hortons y Popeyes.

Los hallazgos fueron alarmantes: 

  • La inscripción en la plataforma Assistant seguía abierta. Las nuevas cuentas recibían contraseñas en texto plano por email – igual que en investigaciones previas con los sistemas de McDonald’s.
  • Analizando las APIs GraphQL, los investigadores explotaron la función createToken para escalar privilegios, convirtiendo una cuenta de prueba en una cuenta de administrador total. Esto les dio acceso completo a registros de tiendas y perfiles de empleados.
  • Las páginas de diagnóstico estaban “protegidas” con una contraseña hardcodeada – literalmente “admin”.

Pero lo más impactante fue su capacidad de acceder a las grabaciones de audio del drive-thru. Estos archivos, que muchas veces contenían datos personales de clientes, se almacenaban para análisis de calidad, entrenamiento de IA y evaluación del estado de ánimo del cliente, desempeño del personal y eficiencia en ventas.

Los hackers revelaron las vulnerabilidades en una hora. RBI parcheó las fallas el mismo día – más rápido que algunos competidores en situaciones similares.

IA sin Seguridad: Vyro AI Expuesta con 116GB de Datos de Usuarios

Qué ocurrió: La desarrolladora de IA Vyro AI dejó más de 116 GB de datos sensibles de usuarios expuestos en línea.

Cómo ocurrió: El 22 de abril de 2025, investigadores de Cybernews reportaron que las bases de datos de Vyro estaban accesibles públicamente. La filtración contenía logs actualizados continuamente de tres apps: 

  • ImagineArt (más de 10 millones de descargas)
  • Chatly (más de 100 mil)
  • Chatbotx (~50 mil visitantes mensuales)

Los datos expuestos incluían solicitudes de usuarios, tokens de autenticación y detalles de dispositivos y navegadores. Esa información podría usarse para tomar control de cuentas, rastrear usuarios y extraer contenido privado de chats.

Los motores de búsqueda indexaron esas bases ya en febrero de 2025. Los investigadores las descubrieron en abril, pero retuvieron la divulgación pública hasta que se resolvió el problema. Vyro tardó aún más en notificar a los reguladores – solo a fines del agosto, y la noticia salió en septiembre.

El caso Vyro no es único. Incluso los líderes de la industria también fallan: en agosto de 2025, usuarios de ChatGPT y Grok descubrieron que sus chats privados estaban expuestos en resultados de Google por un diseño deficiente en las funciones de compartir enlaces.

Una vez más, la carrera por lanzar nuevas funciones opacó las buenas prácticas de seguridad básicas.

Suscríbase para recibir las novedades y conocer las tendencias del sector. Recibirá consejos sobre como afrontar las fugas de los datos y a los ciberdelincuentes.
© 2025 SearchInform LTD
Todos los derechos reservados.
Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario y para mejorar el rendimiento. Si continúa navegando, está dando su consentimiento para la aceptación de nuestra política de cookies, siga el enlace para mayor información.
OK
POLÍTICA DE COOKIES