(https://i.imgur.com/58fylBL.jpeg)
El gigante japonés de las telecomunicaciones KDDI confirmó una de las mayores brechas de datos registradas recientemente en el sector de las telecomunicaciones de Japón. El incidente comprometió una plataforma de correo electrónico utilizada por cinco importantes proveedores de servicios de Internet (ISP), dejando expuestas más de 12 millones de direcciones de correo electrónico y más de 7,6 millones de contraseñas de clientes actuales, antiguos e incluso de cuentas inactivas.
La investigación reveló que los ciberdelincuentes lograron infiltrarse en la infraestructura tras explotar una vulnerabilidad zero-day presente en un software de terceros, una falla que aún era desconocida por el fabricante en el momento del ataque. Aunque KDDI aseguró haber contenido rápidamente la intrusión e implementado medidas de mitigación, el alcance del incidente vuelve a poner sobre la mesa los riesgos que representan las vulnerabilidades de día cero para la cadena de suministro tecnológica y la protección de los datos personales.
Como el segundo mayor operador de telecomunicaciones móviles de Japón, con aproximadamente 45.000 empleados y unos ingresos anuales cercanos a 32.400 millones de dólares, KDDI gestiona infraestructura crítica para millones de usuarios, por lo que cualquier incidente de esta magnitud genera una gran preocupación tanto para clientes como para organismos reguladores.
Un ataque dirigido contra una plataforma compartida por cinco proveedores de InternetSegún explicó la compañía, los atacantes no comprometieron directamente las redes de los proveedores de Internet, sino una plataforma centralizada de correo electrónico utilizada por cinco operadores ISP japoneses.
Los proveedores afectados son:
- STNet.
- JCOM.
- Chubu Telecommunications Corporation.
- NIFTY Corporation.
- BIGLOBE.
La naturaleza compartida de esta plataforma permitió que una única intrusión afectara simultáneamente a millones de cuentas pertenecientes a distintas empresas, ampliando considerablemente el impacto de la brecha.
KDDI detectó actividad sospechosa el 17 de junio de 2026, momento en el que bloqueó el acceso de los atacantes, inició una investigación forense y desplegó medidas de contención para evitar una mayor exposición de información.
La vulnerabilidad zero-day fue explotada un mes antesEn una actualización publicada el 6 de julio, la empresa confirmó que el acceso inicial de los atacantes se produjo el 16 de mayo de 2026, aproximadamente un mes antes de descubrir la intrusión.
Los investigadores determinaron que el ataque aprovechó una vulnerabilidad zero-day presente en un software desarrollado por un proveedor externo.
KDDI explicó que, hasta la fecha en que se detectó el incidente, el fabricante del software desconocía completamente la existencia del fallo.
CitarSegún indicó la compañía:
"Como resultado de nuestra investigación, a fecha del 17 de junio de 2026, esta vulnerabilidad no había sido reconocida por el proveedor del software."
Posteriormente, el desarrollador notificó el problema a las autoridades competentes y comenzó el proceso de divulgación responsable de la vulnerabilidad.
Este tipo de ataques demuestra por qué las vulnerabilidades zero-day continúan siendo uno de los recursos más valiosos para grupos de ciberdelincuencia y actores patrocinados por Estados.
Más de 12 millones de direcciones de correo electrónico comprometidasLa magnitud de la filtración resulta especialmente preocupante.
KDDI confirmó que los atacantes obtuvieron acceso a:
- 12.233.087 direcciones de correo electrónico.
- 7.616.173 contraseñas.
En total, la empresa estima que el incidente podría haber afectado a 14,22 millones de clientes, incluyendo:
- Usuarios activos.
- Antiguos clientes.
- Cuentas inactivas.
La inclusión de cuentas antiguas pone de manifiesto la importancia de mantener políticas adecuadas de retención y eliminación de datos personales una vez finalizada la relación contractual con los clientes.
¿Las contraseñas estaban protegidas?Uno de los aspectos que más preocupa tras cualquier filtración de credenciales es la forma en que las contraseñas estaban almacenadas.
KDDI informó que parte de las contraseñas se encontraba protegida mediante hashes criptográficos o mecanismos de cifrado.
No obstante, la empresa no aclaró varios aspectos críticos, entre ellos:
- Cuántas contraseñas estaban realmente cifradas.
- Qué algoritmo hash se utilizaba.
- Qué método de cifrado protegía las credenciales.
- Si existían contraseñas almacenadas en texto plano.
La ausencia de esta información dificulta evaluar el riesgo real para los usuarios afectados.
En términos generales, cuando las contraseñas están protegidas mediante algoritmos modernos de hash con sal, resulta considerablemente más complejo reutilizarlas para secuestrar cuentas. Sin embargo, si parte de las credenciales se encontraba almacenada utilizando métodos débiles o sin protección adecuada, los riesgos de ataques posteriores aumentan significativamente.
KDDI inicia el cambio obligatorio de contraseñasTras confirmar el incidente, la empresa puso en marcha un proceso masivo para proteger las cuentas comprometidas.
Según explicó KDDI, numerosos usuarios que utilizan habitualmente el servicio de correo electrónico ya habían cambiado voluntariamente sus contraseñas.
Sin embargo, para aquellos clientes que utilizan el correo con menor frecuencia, la compañía decidió implementar un cambio obligatorio de contraseña, coordinado junto con los proveedores de Internet afectados.
El objetivo es completar este proceso en un plazo de uno o dos días para minimizar las posibilidades de que las credenciales expuestas puedan ser utilizadas por atacantes.
Esta medida busca impedir posibles ataques de:
- Credential stuffing.
- Secuestro de cuentas.
- Accesos no autorizados.
- Robo de identidad digital.
Nuevas medidas de seguridad tras el incidenteAdemás de restablecer las credenciales comprometidas, KDDI anunció la implementación de nuevas capas de protección para fortalecer su infraestructura.
Entre las principales medidas adoptadas destacan:
- Despliegue de soluciones Endpoint Detection and Response (EDR) para mejorar la detección temprana de amenazas.
- Investigación forense completa de los sistemas afectados.
- Corrección de la vulnerabilidad utilizada durante el ataque.
- Revisión integral de la seguridad de la plataforma de correo electrónico.
La compañía indicó que una auditoría forense finalizada el 23 de junio confirmó que la vulnerabilidad explotada había sido completamente corregida y que no se identificaron otros problemas de seguridad adicionales dentro de los sistemas analizados.
La incorporación de herramientas EDR permitirá monitorizar continuamente los endpoints y detectar comportamientos anómalos que puedan indicar nuevos intentos de intrusión.
Las autoridades japonesas ya fueron notificadasComo parte de sus obligaciones regulatorias, KDDI notificó inmediatamente el incidente a los principales organismos responsables de la protección de datos en Japón.
Entre ellos se encuentran:
- La Comisión de Protección de Información Personal (PPC).
- El Ministerio del Interior y Comunicaciones.
La empresa indicó que continúa colaborando estrechamente tanto con las autoridades como con los cinco proveedores de Internet afectados para reducir el impacto del incidente y reforzar las medidas de protección aplicadas a los sistemas comprometidos.
Los ataques zero-day siguen representando una de las mayores amenazasEste incidente vuelve a demostrar el enorme peligro que representan las vulnerabilidades zero-day para organizaciones que dependen de software de terceros.
A diferencia de otras vulnerabilidades conocidas, los fallos de día cero pueden permanecer ocultos durante semanas o meses, permitiendo a los atacantes operar sin ser detectados mientras los fabricantes desconocen completamente la existencia del problema.
Cuando estos fallos afectan plataformas compartidas utilizadas por múltiples organizaciones, el impacto puede multiplicarse rápidamente, como ocurrió en este caso.
Recomendaciones para los usuarios afectados[/b]
Aunque KDDI ya está aplicando cambios obligatorios de contraseña, los expertos recomiendan a los clientes adoptar medidas adicionales para proteger sus cuentas:
- Cambiar inmediatamente la contraseña del correo electrónico si aún no se ha hecho.
- Utilizar contraseñas únicas y robustas para cada servicio.
- Activar la autenticación multifactor (MFA) siempre que esté disponible.
- Revisar la actividad reciente de la cuenta para detectar accesos sospechosos.
- Modificar las contraseñas en otros servicios si se reutilizaba la misma combinación de credenciales.
- Permanecer atentos a posibles campañas de phishing que aprovechen la filtración.
Una nueva llamada de atención sobre la seguridad en la cadena de suministroLa brecha sufrida por KDDI evidencia cómo una única vulnerabilidad en un componente de terceros puede desencadenar un incidente de gran escala capaz de afectar a millones de usuarios. La explotación de una vulnerabilidad zero-day, combinada con el acceso a credenciales de correo electrónico, convierte este ataque en un recordatorio de la importancia de reforzar la gestión de riesgos en la cadena de suministro de software.
Para las organizaciones, el caso pone de manifiesto la necesidad de complementar las actualizaciones de seguridad con estrategias de detección temprana, monitorización continua, segmentación de redes y respuesta rápida ante incidentes. Mientras tanto, para los usuarios, mantener buenas prácticas de higiene digital y adoptar mecanismos de autenticación reforzada continúa siendo la mejor defensa frente al creciente número de ciberataques dirigidos a plataformas de comunicación críticas.
Fuente: https://www.bleepingcomputer.com/