Regus, compañía de coworking, sufre brecha de datos masiva

Por increíble que parezca, los descuidos del factor humano siguen siendo la principal causa de incidentes relacionados con la seguridad y protección de datos de usuarios y empleados.

El más reciente error se presentó en la firma Regus, cuyo personal de ventas fue sometido a una investigación sobre rendimiento laboral. Este parecía un proceso convencional, hasta que la información personal recolectada durante este ejercicio fue ingresada en una hoja de cálculo y publicada en Trello, una plataforma de gestión de proyectos.

Para sorpresa del personal de recursos humanos de Regus, un periodista de Telegraph encontró la hoja de cálculo, la cual contenía nombres, direcciones y el resultado de la evaluación de los empleados de la compañía. La hoja de cálculo incluso contenía los datos de algunas de las personas que colaboraron en la investigación haciéndose pasar por clientes potenciales.

Por su parte, la compañía emitió un comunicado mencionando: “Los miembros de nuestro equipo están al tanto de que son monitoreados con fines de capacitación. Hemos recibido un reporte preocupante en referencia a un acceso externo a estos datos, incidente que derivó en la publicación de esta información en una plataforma pública”, afirma el equipo de protección de datos de la compañía.  

Regus notificó de inmediato al equipo de Trello, que removió el material expuesto de inmediato. No obstante, los problemas no terminarán aquí, pues el incidente deberá ser notificado a la Oficina de la Comisionada de Información (ICO) de Reino Unido, actualmente dirigida por Elizabeth Denham.  

Finalmente, Applause, compañía contratada para llevar a cabo la evaluación del personal de Regus, emitió un comunicado mencionando: “Hemos realizado una auditoría interna para descartar la posible presencia de algún software de terceros operando sigilosamente en nuestras redes. Al no encontrar indicios de actividad maliciosa, concluimos que el incidente se produjo debido a un descuido”.  

A pesar de que la cantidad de información personal comprometida en este incidente no es realmente elevada, especialistas en protección de datos del Instituto Internacional de Seguridad Cibernética (IICS) señalan el preocupante número de incidentes de exposición de información provocados por simples descuidos del personal a cargo de la gestión de estas implementaciones. En los casos más serios, estos incidentes pueden llegar a filtrar información altamente sensible de cientos de miles, o incluso millones de usuarios de servicios y plataformas en línea.