El fabricante y distribuidor global de partes de automóviles, LKQ, reconoció esta semana que más de 9 mil partners y clientes resultaron afectadas por una intrusión vinculada a la campaña contra Oracle EBS. El incidente fue atribuido al grupo cibercirminal Cl0p.
LKQ Corporation, uno de los mayores distribuidores de partes de automóviles a nivel global, confirmó recientemente haber sido víctima de un ciberataque asociado a la reciente campaña criminal que explota vulnerabilidades en Oracle E-Business Suite (EBS). La compañía, que cotiza en el NASDAQ y forma parte del listado Fortune 500, notificó a la Oficina del Fiscal General del Estado de Maine que información personal de más de 9 mil personas fue comprometida durante el incidente.
De acuerdo con la documentación presentada ante la autoridad estadounidense, la intrusión se produjo el pasado 9 de agosto y fue detectada recién el 3 de octubre, fecha en la que la empresa dio inicio a una investigación interna con apoyo de una firma forense externa. El análisis para determinar el alcance de los datos comprometidos se extendió por varias semanas y concluyó este 1 de diciembre, proceso que la propia compañía calificó como especialmente complejo y demandante en términos de tiempo.
Los datos expuestos corresponden principalmente a proveedores que operan como personas naturales o pequeños empresarios, e incluyen información altamente sensible como el Employer Identification Number (EIN) y el número de Seguro Social (SSN). En la notificación enviada a los afectados, LKQ sostuvo que “no hay evidencia de impacto a los sistemas de LKQ más allá del entorno de Oracle E-Business Suite”, subrayando que la afectación estuvo contenida a esa plataforma específica.
Como parte de la respuesta al incidente, la compañía decidió desconectar de manera preventiva el entorno Oracle EBS, implementar salvaguardas adicionales y reforzar sus prácticas de seguridad y monitoreo. Además, informó que revisó y actualizó sus políticas y procedimientos de seguridad y privacidad, con el objetivo de fortalecer su programa de protección de la información y reducir el riesgo de eventos similares en el futuro.
En paralelo, LKQ comenzó el proceso de notificación formal a los afectados mediante cartas enviadas desde este lunes 15 de diciembre, en las que también anunció la oferta de dos años de servicios gratuitos de monitoreo de crédito y restauración de identidad, proporcionados por una empresa especial de ciberseguridad. Esta medida busca mitigar los posibles efectos del uso indebido de la información comprometida.
El caso de LKQ se enmarca en una ofensiva de mayor escala atribuida al grupo de ransomware Cl0p, que ha reivindicado la explotación de Oracle EBS y ha publicado en su sitio de filtraciones una lista que supera las 100 organizaciones presuntamente afectadas. En muchos casos, los atacantes han difundido o puesto a disposición grandes volúmenes de datos supuestamente extraídos de los sistemas comprometidos, incluidos varios terabytes que, según los criminales, corresponderían a información de LKQ.
Entre las empresas que han confirmado impacto en esta campaña figuran nombres de alcance global como Canon, Logitech, Mazda, Cox, así como instituciones de salud y universidades en Estados Unidos y Europa. Sin embargo, una parte significativa de las organizaciones mencionadas por Cl0p aún no ha emitido declaraciones públicas, lo que dificulta dimensionar con precisión el alcance real del ataque.
Este no es el primer incidente de seguridad que enfrenta LKQ. Exactamente un año antes, la compañía había informado que un ciberataque provocó interrupciones operativas en una de sus unidades de negocio en Canadá.