La plataforma de gestión documental Nalanda, especializada en el sector de la construcción, ha sufrido una vulnerabilidad informática por la cual ha comprometido datos privados de grandes constructoras como FCC, Acciona o Ferrovial, así como otras importantes compañías: Mercadona o Endesa. Lo curioso es que la propia empresa documental tiene entre sus accionistas a estas mismas constructoras.
En concreto, se ha descubierto una vulnerabilidad 0-day en la solución online Nalanda utilizada para la coordinación de actividades empresariales (CAE) y control de accesos ligados a la documentación que dejaría expuestos los datos privados de sus clientes, contratas y subcontratas, que hubieran utilizado sus servicios.
Nalanda, que nació como Obralia, pero ha cambiado de denominación social, se trata de una empresa participada por algunas de las principales constructoras del país. Su accionariado, a modo de representación patronal, está compuesto por 34 compañías. Actualmente está presidida por Juan Elízaga, director de Relaciones Institucionales, I+D+i y Servicios Generales de Ferrovial; y el director general es Juan Francisco Gil. Sus principales accionistas son Acciona, Comsa, Isolux, Dragados, FCC, Ferrovial y Sacyr.
Accionistas y afectados, así son las constructoras que están detrás y sufren la vulnerabilidad de Nalanda
La plataforma tiene varias herramientas para crear mayores eficiencias en los procesos de contratación de subcontratas. Se trata, en cierto modo, de un repositorio online para la contratación de servicios y su posterior gestión documental. Lo curioso es que algunas de estas empresas son accionistas y clientes; es decir, un puñado de estas empresas que utilizan Nalanda podrían haberse visto comprometidas. De hecho, fuentes oficiales de Ferrovial aseguran a este medio que quieren que se detecte la vulnerabilidad lo antes posible y se solucione.
EL ‘CASO NALANDA’
Y es que uno de los principales servicios que ofrece es Gestiona, que se trata de la gestión documental de Nalanda. En ella sus clientes pueden reclamar, custodiar, verificar y validar la documentación de empresa, trabajadores, maquinaria y calidad que las subcontratas deben presentar a la contrata liberándose del papeleo.
El problema es que la plataforma presenta una vulnerabilidad por la cual se puede acceder a parte de estos datos privados. Así lo ha podido comprobar MERCA2 según las pruebas aportadas por el analista de seguridad Y3110w-S4bm4r1n3. Además, los próximos días se desgranará cómo se ha producido esta situación, así como el proceso por el cual se ha podido acceder a estos datos y, lo más importante, cómo han gestionado las empresas afectadas esta crisis que, al margen de lo económico, también puede tener un impacto reputacional.
Sobre todo porque entre los clientes de Nalanda, que al margen de ser en su mayoría compañías relacionadas con el sector de la construcción, también hay otro tipo de empresas. Entre las más destacadas cabe señalar a Endesa, Mercadona, la hotelera RIU y la promotora inmobiliaria Vía Célere, que utilizan Nalanda durante la construcción de sus proyectos.
LO QUE DICE LA LEY
En este contexto, ahora las empresas afectadas tendrán que valorar el alcance de la vulnerabilidad y las exigencias que se piden a la plataforma. En este sentido, desde Nalanda aseguran a MERCA2 que ellos han llevado a cabo todos los procesos pertinentes para atajar el problema desde que el pasado mes de diciembre fuesen conscientes de la situación.
Los clientes principales perjudicados: Hay clientes que no son constructoras, y está por ver qué harán
Incluso, aseguran, han llevado a cabo una auditoria informática para que fuese detectado cualquier tipo de problema. Aunque está por ver que lo tengan totalmente solucionado.
De este modo, a medida que se publiquen las concreciones sobre los datos privados que podrían haber caído en la vulnerabilidad se sabrá el impacto sobre las leyes con las que choca esta acción. Parece poco probable que las propias constructoras, que a fin de cuentas son accionistas, muestren mucha beligerancia. Sin embargo, hay otro grupo de empresas que pueden tomar medidas.
Entre ellas destacan las anteriormente citadas, Mercadona, Endesa, Vía Célere y RIU; pero hay más. El club de fútbol Atlético de Madrid, Correos Express, Orovalle, Abei Energy… todas ellas deberán decidir qué hacer ante la vulnerabilidad detectada y qué responsabilidad pedirán a los dirigentes de Nalanda. De hecho, uno de los clientes que tiene la plataforma asegura a MERCA2 que ellos sí eran conscientes de la situación, y que habían interpelado a Nalanda en búsqueda de una rápida solución sin que haya habido un arreglo por su parte.