Un actor de amenaza, Tsar0byte, supuestamente afirmó haber violado la red interna de la compañía a través de un enlace de terceros vulnerable, exponiendo datos confidenciales que pertenecen a más de 94,500 empleados.
La presunta violación, reportada en foros web oscuros, incluidos Darkforums, representa una de las exposiciones a datos corporativos más extensos que afectan a Nokia en los últimos años. Según las afirmaciones del actor de amenaza, los datos comprometidos incluyen un directorio interno integral que contiene:
Nombres de empleados completos y datos de contacto Direcciones de correo electrónico corporativas y números de teléfono Información del departamento y títulos de trabajo de un perfil de enlace y referencias internas Documentos internos y registros del lado de la pareja Números de identificación de empleados y jerarquías corporativas
La violación parece haber ocurrido mediante la explotación de los sistemas de un contratista de terceros que tenía acceso directo a la infraestructura interna de Nokia para fines de desarrollo de herramientas. Este método de ataque a través de vulnerabilidades de la cadena de suministro se ha vuelto cada vez más común entre los ciberdelincuentes dirigidos a las principales corporaciones.
Presunto reclamo de incumplimiento
Supuestamente reclamo a los sistemas internos de Nokia
Los investigadores de ciberseguridad que analizan el incidente sugieren que Tsar0byte obtuvo acceso inicial a través de sistemas de contratistas mal asegurados, explotando potencialmente las credenciales predeterminadas o los controles de acceso mal configurados.
La metodología de ataque refleja incidentes anteriores en los que los actores de amenaza han penetrado con éxito en redes corporativas al atacar a proveedores de terceros menos seguros que mantienen acceso privilegiado a los sistemas primarios.
Presunto reclamo de incumplimiento
Estos activos técnicos representan un riesgo de seguridad significativo, ya que podrían proporcionar a los atacantes los medios para mantener un acceso persistente o lanzar ataques adicionales contra la infraestructura de Nokia.
Este incidente sigue un patrón de violaciones de datos de alto perfil que afectan a las principales compañías de tecnología en 2024 y 2025. Nokia se ha enfrentado previamente a los desafíos de seguridad cibernética, incluida una violación separada en noviembre de 2024, donde el actor de amenaza Intelbroker afirmó tener un código fuente robado y credenciales de un contratista de terceros.
El equipo de ciberseguridad de Nokia ha reconocido la conciencia de las afirmaciones y ha declarado que están llevando a cabo una investigación exhaustiva. La compañía enfatizó que sus hallazgos preliminares no han identificado evidencia de compromiso directo con sus sistemas primarios, aunque continúan monitoreando la situación de cerca.
Los expertos en seguridad señalan que dichos incidentes subrayan la necesidad de evaluaciones de seguridad de proveedores mejoradas, auditorías regulares de privilegios de acceso de terceros e implementación de modelos de seguridad de confianza cero que no asumen fideicomiso inherente para ningún sistema o usuario.
Si bien Nokia no ha confirmado que los datos del cliente se vieron directamente afectados, la exposición de la información interna de los empleados plantea riesgos para las campañas de phishing específicas y los ataques de ingeniería social contra el personal de la compañía.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
