¿Encargaste una tarjeta de presentación? Felicidades, acabas de casi destruir el negocio de miles de millones de dólares de Intel.
Intel vivió durante años del código gratuito, y ahora le han demostrado que ese código ni siquiera protege los datos.
El ataque a los recursos internos de Intel mostró que las vulnerabilidades no están solo en los procesadores, sino también en los sitios corporativos de la empresa. Un investigador de seguridad descubrió cuatro formas distintas de obtener datos de más de 270 000 empleados de Intel —desde bases de RR. HH. y contactos hasta información sobre proveedores y procesos productivos. Todas las vulnerabilidades encontradas ya fueron corregidas, pero el hecho de que existieran demuestra lo frágil que puede ser la infraestructura interna incluso en los mayores actores del mercado.
El primer fallo se encontró en el servicio de pedido de tarjetas de visita para empleados de Intel India. El sitio estaba desarrollado en Angular y usaba la biblioteca Microsoft Authentication Library. El autor logró eludir la autorización corporativa modificando la función getAllAccounts, que devolvía un arreglo vacío cuando no había sesión iniciada. Tras esa manipulación, los datos se cargaban sin necesidad de una cuenta y las llamadas a la API no requerían autenticación real. Como resultado, con una sola petición se podía descargar casi un gigabyte de JSON con información personal de empleados de todo el mundo —desde nombre y cargo hasta teléfono corporativo y correo electrónico.
El segundo eslabón débil fue el portal Hierarchy Management, usado para estructurar grupos de producto y responsables de áreas. En el código estaban incrustadas credenciales, además de un cifrado AES rudimentario que se sorteaba con facilidad —la propia clave estaba en el lado del cliente. Además, se hallaron credenciales Basic Auth directas para servicios administrativos. Al falsificar la variable isAuthenticated e imitar roles en las respuestas de Microsoft Graph, el sitio se abría con privilegios de administrador, permitiendo ver solicitudes internas e información sobre productos, incluso de aquellos que aún no se habían presentado públicamente.
El tercer sitio, Product Onboarding, relacionado con el proceso de añadir nuevos productos al sistema Intel ARK, contenía aún más datos sensibles. En su código había varios juegos de credenciales y tokens: desde APIs para gestión de personal hasta accesos a GitHub, donde se guardaban repositorios internos. Formalmente parte de las funciones estaba protegida por VPN, pero al eludir el inicio de sesión e imitar los roles necesarios, el investigador obtenía el conjunto completo de privilegios administrativos.
El cuarto punto de entrada fue SEIMS, un portal para el intercambio de documentación ambiental y técnica con proveedores. Allí la vulnerabilidad fue un error elemental en la comprobación del token: el sitio aceptaba la cadena «Not Autorized» (con la falta de ortografía) como un Bearer token válido y permitía hacerse pasar por cualquier empleado. Al introducir un identificador de usuario arbitrario, se podía evitar la autorización, abrir informes de productos y contratos con socios y acceder a materiales confidenciales.
El informe con todas las vulnerabilidades fue entregado a Intel en el otoño de 2024. La compañía no pagó recompensa por estos hallazgos, ya que durante largo tiempo su infraestructura web se consideró fuera del alcance del programa de bug bounty. La respuesta fue solo una notificación automática de recepción, pero las correcciones se implementaron en un plazo de 90 días. En agosto de 2025 el especialista publicó un informe detallado, subrayando que Intel finalmente amplió la política de bug bounty para incluir esos servicios y sitios.
El caso es ilustrativo: las vulnerabilidades a nivel de hardware dan fama y cientos de miles de dólares, pero los portales web corporativos con acceso directo a grandes conjuntos de datos pueden resultar igual de valiosos para los atacantes.
¿Estás cansado de que Internet sepa todo sobre ti?