¿Qué ha pasado?

Tenga en cuenta que el presente caso se basa en un incidente real. Para proteger la identidad de las partes implicadas, se utilizan nombres ficticios para las empresas y personas implicadas.

Un restaurante que ofrece pedidos online fue notificado de un incidente de seguridad informática en uno de sus proveedores de software. Este proveedor gestiona la plataforma QuickEatery, que el restaurante utiliza para el sistema de pedidos, la administración y el pago, entre otras cosas.

El operador de QuickEatery descubrió acceso no autorizado a los datos de los clientes. Información personal como nombres, direcciones de correo electrónico y, en algunos casos, datos sensibles, incluidos los últimos cuatro dígitos de las tarjetas de crédito almacenadas en el sistema, se vio afectada. El proveedor de QuickEatery informó entonces a todos los clientes corporativos afectados, incluido el restaurante mencionado.

Sin embargo, el incidente fue causado por la mala conducta de un tercero. Los delincuentes accedieron a los datos de acceso de la plataforma QuickEatery debido al comportamiento descuidado de un empleado de una firma contable externa. Este último intentó iniciar sesión en la plataforma para comprobar los pagos y facturas recibidos para el operador de QuickEatery. Cuando esto no tuvo éxito, buscó en internet una forma alternativa de registrarse y la encontró.

En el proceso, se topó con una página web que parecía engañosamente similar a la original de QuickEatery, pero que había sido manipulada por atacantes. Las credenciales introducidas allí se transmitían directamente a los actores de la amenaza.