Base de datos filtrada de Intel muestra cómo un error de inicio de sesión puso en riesgo a 270,000 empleados y socavó la confianza en las defensas digitales corporativas.
Se han detectado vulnerabilidades en diversas instalaciones de Intel, lo que ha dado lugar a debilidades en los sistemas que se superponen entre sí.
Se ha revelado una seria vulnerabilidad en los portales internos de Intel, lo que permitió la exposición de datos sensibles de más de 270,000 empleados de la compañía. Según un experto, la información podía ser accedida por cualquier persona que lograra aprovechar las debilidades en los sistemas de la firma.
El investigador de seguridad Eaton Z publicó un extenso análisis sobre estas fallas, indicando que un portal de tarjetas de presentación de empleados contaba con un sistema de inicio de sesión que podía ser manipulado con facilidad. Al modificar el método de verificación de usuarios, Eaton logró acceder a los datos sin necesidad de credenciales válidas.
El descubrimiento inicial, que parecía menor, reveló una cantidad considerable de información adicional. Eaton logró descargar un archivo cercano a un gigabyte que contenía datos personales de la plantilla de Intel, incluyendo nombres, cargos, jefes, direcciones y números de teléfono. La magnitud de esta filtración plantea riesgos más allá de la simple incomodidad; la información podría ser utilizada para robo de identidad, esquemas de phishing o ataques de ingeniería social.
Eaton también identificó tres otros sitios web de Intel que podían ser vulnerables a ataques similares. Portales internos como "Product Hierarchy" y "Product Onboarding" presentaban credenciales hardcoded que podían ser fácilmente descifradas. Además, una página de inicio de sesión para el sitio de proveedores de Intel también era susceptible a ser eludida.
Las fallas en la seguridad de estos sistemas de acceso representan una grave preocupación para una empresa que constantemente destaca la importancia de la confianza digital. Aunque Intel fue contactado sobre estas problemáticas a partir de octubre de 2024 y logró corregir los errores hacia finales de febrero de 2025, Eaton no recibió compensación a través del programa de recompensas por errores, ya que estos casos no estaban cubiertos por sus condiciones. La única respuesta de la empresa fue un mensaje automatizado, lo cual generó dudas sobre la seriedad con la que se tomaron las revelaciones.
Este incidente subraya que, a pesar de las múltiples capas de protección cibernética que las organizaciones pueden implementar, errores simples en el diseño de aplicaciones pueden resultar en la exposición de sistemas críticos. La situación demuestra que las vulnerabilidades no siempre son defectos inusuales en el hardware, sino que pueden surgir de detalles aparentemente menores en la programación.
