Nintendo de América —en los Estados Unidos— confirmó la existencia de un incidente de seguridad relacionado con TinyPulse, una plataforma de terceros utilizada para encuestas internas de empleados. La declaración de la empresa se produjo días después de que el grupo de extorsión ShadowByt3$ afirmara haber obtenido información vinculada a trabajadores de la compañía y exigiera un rescate de US$2 millones de dólares para evitar la publicación de los datos.
Según la información difundida por los atacantes entre el 12 y el 13 de junio, el conjunto de datos sustraído tendría un tamaño cercano a los 859 MB e incluiría documentación relacionada con empleados que utilizaron la plataforma TinyPulse. El grupo aseguró que la información contendría nombres completos, direcciones de correo electrónico, identificadores de empleados, formularios tributarios, extractos bancarios y distintos reportes internos asociados a recursos humanos.
Nintendo respondió públicamente al incidente señalando que el alcance de la exposición no afectó a su infraestructura tecnológica principal. La empresa indicó que “los sistemas de Nintendo no han sido comprometidos y no se ha accedido a datos personales de clientes ni a información financiera”.
La compañía también sostuvo que “los datos involucrados se limitan al contenido de encuestas internas correspondientes a un pequeño subconjunto de nuestros empleados, y la mayor parte de la información data de varios años atrás”.
TinyPulse es una plataforma utilizada para recopilar comentarios de empleados, medir niveles de participación laboral y realizar evaluaciones relacionadas con la cultura organizacional. De acuerdo con los reportes publicados, ShadowByt3$ habría dirigido sus acciones contra este proveedor de servicios y no contra las operaciones de videojuegos de Nintendo. El propio grupo afirmó que la situación “no afecta a los videojuegos de Nintendo” y que se limita a “una pequeña cantidad de empleados que trabajan para Nintendo y que han utilizado TinyPulse”.
Tras la primera exigencia económica dirigida a Nintendo, los atacantes habrían emitido una segunda advertencia orientada directamente a TinyPulse, ampliando el plazo para establecer contacto. Distintos reportes indican además que el grupo amenazó con divulgar mensajes privados y conversaciones supuestamente obtenidas durante la intrusión si no se concretaba una negociación.
Nintendo informó que trabaja junto al proveedor afectado para abordar la situación. Hasta la fecha de las publicaciones revisadas, no existían reportes públicos de negociaciones entre la empresa y los atacantes. Asimismo, los antecedentes disponibles señalan que la información de clientes y usuarios de servicios de Nintendo no habría resultado afectada por este incidente.
