El fabricante japonés confirmó que información personal de clientes en ese país quedó comprometida luego de un acceso no autorizado a servidores gestionados por Red Hat, en un nuevo incidente que vuelve a poner el foco en los riesgos de terceros tecnológicos.
Nissan Motor Co., Ltd. confirmó que información personal de aproximadamente 21 mil clientes fue expuesta como consecuencia indirecta de una brecha de seguridad ocurrida en septiembre pasado en Red Hat, empresa estadounidense de software a la que el fabricante automotor había encargado el desarrollo de sistemas de gestión de clientes para una de sus filiales de ventas en Japón.
Según detalló la compañía, el incidente afectó a clientes de Nissan Fukuoka Sales Co., Ltd., quienes habían comprado vehículos o recibido servicios en esa región de Japón. “Nissan Motor Co., Ltd. recibió un informe de Red Hat (…) de que se había producido un acceso no autorizado a su servidor de datos y que la información había sido filtrada”, señaló la empresa en un comunicado. Posteriormente, se confirmó que entre los datos comprometidos se encontraban nombres completos, direcciones físicas, números de teléfono, direcciones de correo electrónico parciales y otra información utilizada en actividades comerciales.
La automotriz precisó que no se vieron expuestos datos financieros sensibles, como información de tarjetas de crédito o cuentas bancarias. Asimismo, afirmó que “en este momento, no se ha confirmado que la información filtrada haya sido utilizada con fines secundarios”, aunque recomendó a los clientes afectados extremar la precaución frente a llamadas o comunicaciones sospechosas.
De acuerdo con la notificación oficial, Red Hat detectó el acceso no autorizado el pasado 26 de septiembre y alertó a Nissan el 3 de octubre. Tras ello, el fabricante japonés informó a la Comisión de Protección de Información Personal de Japón y comenzó a contactar directamente a los clientes potencialmente afectados. “Nissan se toma este incidente muy en serio y fortalecerá la supervisión de sus subcontratistas, además de adoptar nuevas medidas para reforzar la seguridad de la información”, añadió la compañía, junto con una disculpa pública a sus clientes.
La brecha en Red Hat salió a la luz a comienzos de octubre, cuando el grupo conocido como Crimson Collective afirmó haber robado cerca de 570 GB de datos desde repositorios privados de GitLab gestionados por la división de consultoría de la empresa. El material sustraído incluiría información de unos 28 mil proyectos y cientos de informes de compromiso con clientes (Customer Engagement Reports), algunos de ellos con detalles técnicos sensibles. Posteriormente, el grupo ShinyHunters publicó muestras de los datos en una plataforma de extorsión para presionar a la compañía.
Aunque Red Hat confirmó el incidente, sostuvo que el ataque no afectó a sus productos ni a la integridad general de su cadena de suministro. Por su parte, Nissan recalcó que los servidores comprometidos no almacenaban información adicional más allá de la ya identificada, por lo que descartó el “riesgo de nuevas filtraciones”.
Este episodio se suma a una serie de incidentes de ciberseguridad que han afectado a Nissan en los últimos años. En agosto, su filial de diseño Creative Box Inc. fue golpeada por un ataque de ransomware atribuido al grupo Qilin. En 2024, la compañía también reconoció una brecha que impactó a más de 50 mil trabajadore en Norteamérica, mientras que en Oceanía un ataque del grupo Akira expuso datos de cerca de 100 mil clientes.