Ikea detecta un fallo "crítico" de seguridad que habría permitido robar datos de clientes en España

La página web de Ikea en España ha tenido durante un tiempo indeterminado un fallo crítico en su construcción que habría permitido robar datos de clientes en España, tal y como ha podido saber Vozpópuli. El fallo ha sido solucionado por la empresa sueca.

En concreto, se trata de una vulnerabilidad denominada como inyección SQL. "La inyección de SQL es un tipo de ciberataque encubierto en el cual un hacker inserta código propio en un sitio web con el fin de quebrantar las medidas de seguridad y acceder a datos protegidos. Una vez dentro, puede controlar la base de datos del sitio web y secuestrar la información de los usuarios", explica la empresa de seguridad informática Avast.

IKEA fue avisada en primera instancia por el experto paquistaní en ciberseguridad y bug hunter -cazador de bugs- Touseef Gul, que fue quien descubrió la vulnerabilidad. Gul también destapó, en septiembre de 2020, una brecha de seguridad en Vueling, publicada por este diario.

Esta vulnerabilidad en Ikea España permitiría a los ciberdelincuentes robar datos con información personal, como es el caso de la dirección de correo electrónico, contraseñas, número de teléfono, nombre, apellidos...

Ikea tiene un programa de recompensas

"La inyección SQL (SQLi) es una vulnerabilidad de seguridad web que permite a un atacante interferir con las consultas que una aplicación realiza a su base de datos. Por lo general, permite que un atacante vea cosas que normalmente no podría ver. Esto puede incluir información perteneciente a otros usuarios o cualquier otro dato al que la propia aplicación pueda acceder. En muchos casos, un atacante puede modificar o eliminar esos datos, provocando cambios persistentes en el contenido o el comportamiento de la aplicación. Esta vulnerabilidad en Ikea España permitiría a los ciberdelincuentes robar datos con información personal, como es el caso de la dirección de correo electrónico, contraseñas, número de teléfono, nombre, apellidos...", explica el investigador.

Ikea ha declarado a este diario que los datos de los usuarios no estuvieron nunca en peligro y que se preocupa "seria mente" por la información de los mismos. La empresa sueca recompensó económicamente a Gul con 500 dólares. Es una práctica común en algunas empresas, que ofrecen dinero a quienes descubren fallos de seguridad. En función de la gravedad de los mismos, se ofrecen recompensas de distinto valor.

Un año del ciberataque global a Ikea

Estos días se ha cumplido un año desde que la compañía sufriera un gran ciberataque global en sus sitemas internos. Entonces, la cadena sueca informó a todos sus empleados de que el ataque pudo provenir de un correo electrónico enviado por cualquier compañerp de trabajo, una organización externa o ser parte de una cadena de correos ya iniciada.

Socios comerciales de Ikea se vieron comprometidos por el ciberataque. De hecho, desde cuentas de esos socios se expandió el mismo ciberataque a otras empresas a través de correos electrónicos infectados. El equipo informático de la firma sueca trató el caso como un incidente "serío" por el temor a que implicara riesgos mayores.

El tipo de ciberataque se identificó como phishing o suplantación de identidad, una técnica que consiste en imitar una página web de confianza para el usuario, que piensa que es real, y es invitado a pinchar sobre un enlace. Al hacerlo, el equipo se infecta.

Generalmente estos ciberataques secuestran el disco duro del equipo. Los ciberdelincuentes piden un rescate para liberarlo. Los expertos en ciberseguridad recomiendan no hacerlo en ningún caso, dado que no existen garantías de que se recupere el acceso a la información.