La empresa de alquiler de autos Hertz ha informado a sus clientes sobre una preocupante brecha de datos que ha comprometido información personal crucial, incluyendo licencias de conducir. Este incidente se debe a un ciberataque dirigido a uno de sus proveedores clave, Cleo, durante el periodo comprendido entre octubre y diciembre de 2024. En ese tiempo, la empresa Cleo fue víctima de la banda de ransomware Clop, que aprovechó una vulnerabilidad para sustraer los datos delicados de los clientes de Hertz.
Impacto de la Brecha de Datos
La brecha de datos ha tenido un impacto significativo, afectando a clientes en distintas regiones del mundo. Los países más afectados incluyen Australia, Canadá, la Unión Europea, Nueva Zelanda y Reino Unido, además de varios estados de EE. UU., como California, Maine y Texas. En el estado de Maine, 3,400 clientes han sido afectados, mientras que en Texas la cifra asciende a aproximadamente 96,665 personas. Sin embargo, las estimaciones apuntan a que el número total de afectados podría ser considerablemente mayor.
Información Comprometida
La información que resultó comprometida en esta brecha incluye nombres de clientes, fechas de nacimiento, información de contacto, licencias de conducir, datos de tarjetas de pago e incluso, en casos menos frecuentes, números de seguridad social. Esta situación no solo expone a los clientes a posibles robos de identidad, sino que también subraya la creciente vulnerabilidad de sistemas que muchas empresas todavía subestiman.
Causa del Incidente
Hertz ha señalado a Cleo como la causa principal del incidente. Cleo, el proveedor afectado, vio sus sistemas comprometidos debido a la falta de un parche de seguridad ante una vulnerabilidad de día cero, que fue explotada por la banda de ransomware Clop. Este grupo de cibercriminales no es ajeno a las páginas policiales, ya que en 2024 utilizaron una vulnerabilidad similar para robar información de unas 60 empresas.
Repercusiones y Respuestas Oficiales
El anuncio oficial sobre la brecha se realizó el 14 de abril de 2025. En sus declaraciones, Emily Spencer, portavoz de Hertz, confirmó que los datos fueron obtenidos de manera ilegal, pero insistió en que la red interna de Hertz no fue afectada por el ataque. Hasta el momento, Cleo no ha emitido ninguna declaración al respecto, lo que deja a muchas preguntas sin respuesta sobre la seguridad y los controles internos del proveedor.
Medidas de Seguridad Adicionales
Ante este tipo de incidentes, es crucial para las empresas evaluar y mejorar continuamente sus prácticas de ciberseguridad, amigo. Adoptar medidas proactivas y reactivas ayudará a disminuir la posibilidad de futuras brechas y minimizar el impacto en casa de que estas ocurran. Además, las compañías deben considerar la implementación de políticas robustas que aseguren una respuesta rápida y eficiente para proteger la información sensible de sus clientes.
La situación es un recordatorio contundente de la importancia de exigir altos estándares de seguridad cibernética a todos los proveedores con los que se cuente, especialmente considerando que las brechas de datos se están tornando cada vez más frecuentes y sofisticadas.
