El administrador de beneficios estadounidenses detectó acceso no autorizado entre diciembre y enero. HackerOne, cliente afectado, critica el retraso en la notificación mientras 287 de sus empleados quedan expuestos.
Navia Benefit Solutions notificó la semana pasada una brecha de datos que expone información sensible de aproximadamente 2.7 millones de personas, incluyendo números de Seguro Social, datos de salud y coordenadas de contacto. El incidente, detectado el 23 de enero de 2026, tuvo una ventana de acceso no autorizado que se extendió durante casi un mes, desde el 22 de diciembre de 2025 hasta el 15 de enero de 2026.
La compañía que administra beneficios de salud para más de 10.000 empleadores en Estados Unidos, informó que un atacante explotó una vulnerabilidad de autorización a nivel de objeto (BOLA) en uno de sus endpoints de API.
Según la notificación presentada ante la Oficina del Fiscal General de Maine, el vector de ataque fue una vulnerabilidad Broken Object Level Authorization (BOLA), un tipo de fallo común en APIs que permite a un atacante acceder a objetos sin la debida verificación de permisos.
El acceso fue de solo lectura, sin evidencia de modificación de datos ni despliegue de ransomware. La información comprometida incluye nombres completos, fechas de nacimiento, números de Seguro Social, números de teléfono, direcciones de correo electrónico, datos de participación en planes de salud (FSA, HSA, HRA, COBRA), fechas de inscripción y terminación. En algunos casos, también se expusieron datos de dependientes de los empleados afectados.
Entre los clientes impactados se encuentra HackerOne, la reconocida plataforma de bug bounty que gestiona programas de seguridad para compañías como General Motors, Goldman Sachs, GitHub, Uber y agencias gubernamentales estadounidenses incluyendo el Departamento de Defensa. La empresa confirmó que 287 de sus empleados fueron afectados por la filtración.
Lo que ha generado mayor controversia no es solo la brecha en sí, sino el retraso en la comunicación: Navia fechó sus cartas de notificación el 20 de febrero, pero HackerOne asegura que no recibió el aviso formal hasta marzo, casi dos meses después de detectada la intrusión. La plataforma de bug bounty ha sido clara en su descontento y señaló que aún espera una explicación satisfactoria sobre la demora.
HackerOne ha sido contundente en su respuesta pública. La compañía anunció que evaluará las prácticas de seguridad y privacidad de Navia, y que podría buscar proveedores alternativos de beneficios para sus empleados si los estándares no cumplen con sus expectativas. La ironía es palpable: una empresa dedicada a identificar vulnerabilidades en sistemas de terceros se ve afectada por un fallo de seguridad en uno de sus propios proveedores.
Este incidente refuerza un patrón observado con frecuencia en el ecosistema de ciberseguridad: las organizaciones pueden tener controles robustos en su infraestructura propia, pero permanecen expuestas a través de terceros que manejan datos sensibles en su nombre.
Aunque Navia ha señalado que no tiene evidencia de uso malicioso de los datos hasta el momento, la naturaleza de la información expuesta representa un riesgo considerable para los afectados. La combinación de números de Seguro Social con datos de contacto y participación en planes de salud permite a los atacantes construir perfiles completos de las víctimas, facilitando campañas de phishing dirigido, robo de identidad y fraude de beneficios médicos.
Navia está ofreciendo servicios de monitoreo de crédito y protección de identidad a través de Kroll por un periodo de 12 a 24 meses. Los afectados deben vigilar sus cuentas financieras, considerar el congelamiento de crédito y mantenerse alerta ante comunicaciones sospechosas que intenten explotar esta información para suplantar a empleadores o entidades gubernamentales.
FUENTE ORIGINAL
BleepingComputer↗CURADO POR
Johan Ricardo