Brecha en IMA Diligence Services: 525,000 personas afectadas por servidor legado de tercero
IMA Diligence Services sufrió una brecha de datos que afectó información personal de 525,000 personas. Los datos fueron robados de un servidor legado administrado por un tercero. El caso ilustra el riesgo de proveedores de due diligence e investigación corporativa como vectores de exposición de datos sensibles.
Contexto
IMA Diligence Services, empresa especializada en servicios de due diligence e investigación corporativa, confirmó una brecha de datos que afectó información personal de 525,000 personas. Los datos fueron robados de un servidor legado —un sistema antiguo que ya no estaba en uso activo pero seguía operativo— administrado por un tercero.
IMA maneja información de investigaciones de fondo de personas: datos de identificación, historial laboral, y posiblemente información financiera o legal recopilada para procesos de contratación o cumplimiento.
Impacto potencial
Para personas
Las personas afectadas son quienes fueron sujeto de investigaciones de due diligence —procesos de verificación de antecedentes para empleo, inversión o cumplimiento normativo—. La información comprometida puede incluir datos personales sensibles que los afectados no saben que IMA tenía.
Para organizaciones
Las empresas que usaron los servicios de IMA para investigar empleados, socios o proveedores deben evaluar si datos de sus procesos internos forman parte de la brecha. Además, este caso ilustra un riesgo de terceros: los proveedores que manejan datos sensibles para tu organización son parte de tu superficie de ataque.
Perspectiva GRC
Un servidor “legado” administrado por un tercero que contiene datos de 525,000 personas es exactamente el tipo de activo que desaparece del inventario de seguridad con el tiempo. La organización que lo administra no lo prioriza porque “ya no está en uso activo”. El dato sigue siendo sensible.
La pregunta de gobernanza: ¿tu organización sabe qué sistemas legados o de terceros tienen datos de clientes, empleados o socios —aunque ya no estén en uso activo?
Recomendaciones
Para personas
Si participaste en procesos de contratación o due diligence en los últimos años con organizaciones que usan IMA, monitorear si recibes comunicación de IMA sobre la brecha y qué datos específicos fueron comprometidos. Estar alerta a intentos de ingeniería social usando información personal.
Para organizaciones
Revisar qué proveedores de servicios externos tienen acceso o retienen datos de empleados, socios o clientes. Los proveedores de due diligence, verificación de antecedentes, y cumplimiento normativo acumulan datos sensibles que muchas veces no están cubiertos por los mismos estándares de seguridad que los sistemas internos.
Los datos no se vuelven menos sensibles cuando el sistema que los contiene pasa a ser “legado”. Se vuelven más vulnerables: la organización deja de monitorearlo activamente, los parches se retrasan, y nadie recuerda exactamente qué hay ahí. La lección permanente: el ciclo de vida de los datos debe incluir su eliminación segura cuando ya no son necesarios. Conservar datos que nadie consulta es acumular riesgo sin valor.
Leer fuente original →