Robo de langostas, contraseñas expuestas y silencio absoluto: cómo una vulnerabilidad en el software Bluspark puso en jaque a las cadenas logísticas globales
Experto en ciberseguridad detecta filtración masiva de contraseñas y datos sobre suministros de cientos de empresas globales a través del software Bluspark Globa
En el último año, los especialistas en ciberseguridad han mostrado cada vez más preocupación por lo vulnerable que ha resultado el mercado mundial de transporte de mercancías. Los piratas informáticos intervienen cada vez más en las cadenas logísticas, redirigiendo cargamentos a manos de grupos delictivos. No se trata de ataques virtuales por mero experimento, sino de robos bien reales cometidos por bandas organizadas. En algún caso desaparece un camión con cigarrillos electrónicos, en otro se investiga el sospechoso robo de un lote de langostas.
En ese contexto surgió la historia de la empresa estadounidense Bluspark Global, que desarrolla software para la gestión de suministros y transporte. La firma de Nueva York no es muy conocida por el gran público, pero su plataforma Bluvoyix es utilizada por cientos de grandes compañías en todo el mundo. A través de este software pasan datos sobre los envíos de cadenas minoristas, supermercados, fabricantes de muebles y otros negocios, así como socios vinculados a la propia Bluspark.
Como se descubrió, durante meses el sistema de la compañía estuvo prácticamente abierto a cualquier usuario de Internet. El investigador de seguridad Eaton Zvir ya en el otoño de 2025 detectó varios fallos críticos, que permitían acceder sin ninguna autorización a datos confidenciales de clientes, incluida la historia de envíos de décadas. Entre los problemas se encontraban contraseñas de empleados y clientes almacenadas en texto claro, y una API que permitía interactuar con la plataforma de forma remota sin verificar las credenciales.
Según el investigador, la parte más difícil no fue encontrar errores, sino intentar comunicarlos a la empresa. Bluspark no disponía de un canal claro para cuestiones de seguridad. Zvir contactó con la organización sin ánimo de lucro Maritime Hacking Village, envió cartas, dejó mensajes de voz y mensajes en LinkedIn, pero no obtuvo respuesta durante semanas, mientras las vulnerabilidades permanecían activas.
Finalmente, Zvir, junto con especialistas de TechCrunch, intentó comunicarse con la dirección de Bluspark e incluso con uno de sus clientes, una cadena minorista estadounidense pública, pero sin éxito. La respuesta llegó solo después de que en una carta al consejero delegado se incluyera un fragmento de su contraseña como prueba visible de la gravedad del problema. Tras eso se puso en contacto un bufete de abogados que representa a Bluspark.
El investigador contó que halló las vulnerabilidades al analizar el sitio web de uno de los clientes de la empresa. Un formulario de contacto habitual enviaba datos a través de los servidores de Bluspark, y el código que procesaba los correos estaba incrustado directamente en la página. Eso permitía a un atacante modificarlo y enviar correos de phishing en nombre de un cliente real. Además, la documentación pública de la API permitía ejecutar comandos, obtener listas de usuarios e incluso crear nuevas cuentas con privilegios de administrador sin contraseña.
Con ese acceso, un posible atacante podía ver datos de clientes, como mínimo, desde 2007. Además, el sistema de tokens, que debía limitar el acceso, en la práctica no funcionaba, ya que las solicitudes se aceptaban incluso sin él.
Tras la intervención de los abogados, Bluspark declaró que todos los problemas detectados habían sido solucionados. La empresa cerró cinco vulnerabilidades y comenzó el proceso de contratar a una firma externa para una evaluación independiente de seguridad. Un portavoz de Bluspark informó que la compañía no tenía indicios de que alguien hubiera aprovechado esos fallos para interferir en los suministros de los clientes, aunque no se ofrecieron detalles ni pruebas.
Bluspark también prometió lanzar un programa de divulgación responsable de vulnerabilidades para que los investigadores pudieran notificar directamente los problemas hallados. Por ahora la discusión sobre esta iniciativa continúa. El consejero delegado de la empresa rehusó hacer comentarios.
La historia de Bluspark muestra claramente lo peligroso que puede ser la combinación de errores técnicos sencillos y la falta de comunicación. En un mundo donde los ciberataques con frecuencia conducen a robos reales y pérdidas financieras, esas vulnerabilidades se convierten en una herramienta conveniente no solo para hackers, sino también para organizaciones criminales.