La empresa de renta de vehículos reconoció que datos sensibles de sus clientes fueron robados tras un ataque cibernético que explotó una falla crítica en la plataforma Cleo. El incidente afecta a miles de personas en varias zonas de los Estados Unidos.
El gigante de arriendo de vehículos Hertz Corporation confirmó esta semana haber sido víctima de una violación de datos que expuso información personal de decenas de miles de sus clientes. La brecha de seguridad se produjo tras la explotación de vulnerabilidades de día cero en la plataforma de intercambio de archivos Cleo, utilizada por la compañía para la transferencia de documentos.
La intrusión fue detectada el 10 de febrero de 2025, pero tuvo origen meses antes, entre octubre y diciembre del año pasado. En ese período, actores maliciosos lograron acceder a los sistemas mediante fallas aún no documentadas en la plataforma Cleo, afectando no solo a Hertz, sino también a otras empresas de diversos sectores.
En una comunicación oficial, Hertz confirmó que datos de la compañía “fueron adquiridos por un tercero no autorizado” y señaló que, para hacerlo, habrían explotado vulnerabilidades de día cero “dentro de la plataforma de Cleo”. Aunque la empresa asegura que su red corporativa no fue comprometida directamente, reconocieron que la información sustraída fue significativa.
Los datos robados varían dependiendo del individuo afectado, pero en muchos casos incluyen nombres completos, información de contacto, fechas de nacimiento, datos de tarjetas de crédito, licencias de conducir y detalles relacionados con reclamaciones de compensación laboral. En casos más delicados, algunos usuarios también vieron comprometidos sus números de seguro social, identificaciones gubernamentales, pasaportes o información médica relacionada con accidentes vehiculares.
Hasta ahora, Hertz ha reportado oficialmente a los reguladores de varios estados, incluyendo Maine, Texas, California, Iowa y Vermont.
En Texas, la compañía confirmó que al menos 96.665 residentes fueron afectados, mientras que en Maine se notificó a 3.409 personas.
Aunque Hertz se negó a proporcionar un número total a nivel nacional, estas cifras sugieren que el alcance podría superar los 100 mil usuarios.
Un portavoz de la empresa aclaró a medios especializados en ciberseguridad que “sería inexacto afirmar que millones de clientes están afectados”, en un intento por acotar la magnitud del incidente. A pesar de ello, los expertos señalan que la falta de transparencia puede generar desconfianza entre los usuarios.
La respuesta de Hertz incluyó el inicio inmediato de una investigación forense y la colaboración con autoridades para contener la amenaza. Además, se han ofrecido dos años de monitoreo gratuito de identidad a través de la firma Kroll para los clientes afectados. Las notificaciones comenzaron a enviarse el pasado 11 de abril, tanto por correo electrónico como mediante cartas físicas y comunicados en el sitio web oficial de la empresa.
Este incidente se suma a una larga lista de brechas ocasionadas por la vulnerabilidad en la plataforma Cleo, que también afectó recientemente a empresas como WK Kellogg Co, Western Alliance Bank y Sam’s Club, algunas de las cuales informamos anteriormente.
La banda de ransomware Clop, la que acumula 400 víctimas a nivel global en el primer trimestre de este año, y que es conocida por operar desde 2019 y especializada en ataques de exfiltración de datos desde 2020, se adjudicó la autoría del ataque, publicando parte de los datos filtrados en su sitio de extorsión en octubre del año pasado. Clop ha sido señalada en múltiples campañas similares, incluyendo vulneraciones a plataformas como MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U y Accellion FTA. En todos estos casos, el modus operandi ha sido el mismo: explotar vulnerabilidades de día cero, robar información confidencial y luego extorsionar a las empresas para evitar la publicación de los datos.