Una vulnerabilidad en un software de terceros permitió a los atacantes acceder a información sensible de clientes, incluyendo números de Seguro Social y datos financieros.
Western Alliance Bank, con sede en Phoenix, ha confirmado que la información de 21.899 clientes fue comprometida debido a un ciberataque ocurrido en octubre de 2024. La filtración se produjo a través de una vulnerabilidad en un software de transferencia de archivos de un proveedor externo, el cual también afectó a numerosas organizaciones.
El banco reveló en una notificación presentada en los estados de Maine y California en los Estados Unidos, en los que los ciberdelincuentes explotaron una falla de seguridad en el software, lo que les permitió acceder a una parte de los sistemas internos de Western Alliance y obtener copias de archivos almacenados en ellos.
«En octubre de 2024, un actor no autorizado comenzó a explotar esta vulnerabilidad desconocida en el software de terceros, lo que le permitió acceder a una parte limitada de los sistemas de Western Alliance y obtener copias de archivos de esos sistemas», afirmó la entidad en su comunicado.
El incidente no fue identificado hasta el 27 de enero de 2025, cuando el banco descubrió que los atacantes habían accedido a su información. Una investigación posterior determinó que los ciberdelincuentes obtuvieron ciertos archivos entre el 12 y el 24 de octubre de 2024. El análisis finalizado en febrero de 2025 confirmó que la información robada incluía nombres, números de Seguro Social, fechas de nacimiento, números de cuentas financieras, licencias de conducir, números de identificación fiscal y pasaportes.
Si bien Western Alliance asegura que no tiene evidencia de que la información personal de los clientes haya sido utilizada para fraudes o robos de identidad, ha ofrecido a los afectados un año de servicio gratuito de protección de identidad.
«Si bien no tenemos evidencia de que su información personal haya sido utilizada indebidamente como resultado de este incidente, le recomendamos que aproveche el monitoreo de crédito gratuito incluido en esta carta», señala la empresa en las notificaciones enviadas a los clientes afectados.
El ataque ha sido atribuido a la banda de ransomware Clop. Este grupo se ha enfocado en explotar vulnerabilidades en herramientas de intercambio de archivos como MOVEit, GoAnywhere y Accellion. En enero de 2025, Clop incluyó a Western Alliance Bank en su sitio de filtraciones junto con otras 57 empresas afectadas.
Aunque el banco no ha especificado el software comprometido, las investigaciones apuntan a que la vulnerabilidad explotada podría estar relacionada con Cleo, un software de transferencia de archivos que ha sido blanco de múltiples ataques. En octubre de 2024, Cleo parcheó una vulnerabilidad crítica (CVE-2024-50623) explotada por Clop y, en diciembre, emitió nuevas actualizaciones de seguridad tras el descubrimiento de otra falla de día cero (CVE-2024-55956), la cual los atacantes utilizaron para instalar una puerta trasera en los sistemas comprometidos.