KiranaPro: ¿Hackeo externo tras la pérdida de datos? El cofundador no lo descarta

La que se ha liado en KiranaPro, la startup india de reparto de comida a domicilio. Y es que su reciente historia de «pérdida de datos» tiene más agujeros que un queso suizo. La empresa, para colmo, no termina de aclarar si fue un fallo interno o un ataque externo en toda regla. Vamos a desgranar este culebrón tecnológico que huele a chamusquina.

La semana pasada, los de KiranaPro, con sede en Bangalore, se dieron cuenta de que no podían acceder a sus servidores. Para más inri, todos sus datos, ¡incluido el código de la app!, habían desaparecido de GitHub. Inicialmente, la startup echó la culpa a un antiguo empleado. Pero, ojo al dato, en una entrevista posterior, Deepak Ravindran, cofundador y CEO de KiranaPro, admitió que no habían desactivado la cuenta del empleado tras su marcha. Y claro, ahora no pueden descartar que alguien haya hecho un uso malicioso de esa cuenta. ¡Madre mía!

«Si queremos llegar al fondo del asunto, necesitamos una investigación forense de verdad. Vamos a hablar de esto con nuestro consejo, los inversores, y vamos a pedir una opinión formal a nuestros asesores legales», declaró Ravindran a TechCrunch. Vamos, que la cosa pinta seria.

Pero la cosa no queda ahí. Previamente, Ravindran había afirmado en un post en X (antes Twitter) que el incidente era una brecha interna. «Tras una investigación exhaustiva, concluimos que no fue un hackeo. Ningún agente externo penetró en nuestros sistemas de pedidos o pagos, explotó vulnerabilidades ni saltó los protocolos de seguridad», escribió. Vamos, que según él, todo queda en casa.

Para rizar más el rizo, el cofundador compartió en X una captura de pantalla del perfil de LinkedIn de un antiguo empleado de KiranaPro, ¡acusándolo directamente de haber borrado el código de la startup! (No vamos a compartir el enlace del post porque la empresa aún no ha presentado pruebas concretas de su acusación). «Esto fue una brecha de datos interna. Específicamente, fue el resultado de las acciones tomadas por un empleado interno de confianza que tenía acceso legítimo a nuestros sistemas», afirmó el cofundador en su post. «Este individuo borró intencionadamente registros críticos del servidor mientras estaban siendo probados o editados, una acción que va directamente en contra de nuestras políticas, nuestros principios y la confianza que depositamos en nuestro equipo». ¡Menudo marrón!

Pero, ¿podía KiranaPro descartar que un tercero hubiera accedido maliciosamente a la cuenta del antiguo empleado? Pues va a ser que no. «Tenemos que hacer una revisión forense completa de la empresa. Tenemos que hacer un escaneo IP completo. Tenemos que mirar dónde ocurrieron los movimientos. Tenemos que revisar los ordenadores, MacBooks y todo lo que se usó. Hay que hacerlo todo. Y eso cuesta dinero… así que decidimos no hacerlo», le soltó Ravindran a TechCrunch. ¡Toma ya!

Entonces, ¿en qué se basaba la acusación de Ravindran? Pues en una respuesta de GitHub, cuya copia compartió con TechCrunch. La respuesta incluía un nombre de usuario que, según Ravindran, pertenecía al antiguo empleado. «Lo único que tenemos son los correos electrónicos que recibimos de GitHub, indicando que [el nombre de usuario del antiguo empleado] es la persona que borró la cuenta. No hemos investigado más», explicó Ravindran a TechCrunch. Vamos, que se basan en un email y poco más.

La cuenta del antiguo empleado nunca fue dada de baja

KiranaPro, lanzada a finales de 2024, opera como una app de compras en la Red Abierta para el Comercio Digital del gobierno indio. La startup permite a más de 55.000 clientes en 50 ciudades comprar comida de sus tiendas locales y supermercados cercanos usando su interfaz basada en voz. La empresa también admite entradas en idiomas locales, incluyendo inglés, hindi, malayalam y tamil. Una idea interesante, la verdad.

Ravindran afirmó que decidieron señalar al antiguo empleado basándose en el «sistema de creencias» de la empresa, ya que, según ellos, el antiguo empleado borró los datos tras su repentino despido. Pero, ojo, la startup reconoce que no sabe si había suficientes protecciones en los dispositivos del antiguo empleado, como la autenticación multifactor, para restringir el acceso malicioso de terceros, como malware. ¡Vaya tela!

La empresa confirmó que no eliminó el acceso del empleado a sus datos y a la cuenta de GitHub tras su marcha. «La baja de empleados no se estaba gestionando correctamente porque no había un departamento de recursos humanos a tiempo completo», confirmó a TechCrunch Saurav Kumar, director de tecnología de KiranaPro. ¡Para flipar! Esto parece un sketch de «La que se avecina».

La empresa restaura la cuenta de AWS y los datos de GitHub

Además del código guardado en GitHub, KiranaPro también perdió el acceso a su cuenta de Amazon Web Services (AWS), que incluía los datos de sus clientes y los detalles de sus transacciones. ¡Menudo desastre!

Ravindran explicó a TechCrunch que los datos de GitHub se restauraron después de obtener una copia de seguridad de uno de sus empleados. La startup también recuperó el acceso a su cuenta de AWS junto con los datos de sus clientes. Tanto el cofundador como el CTO dijeron que la cuenta de AWS estaba protegida por autenticación multifactor, pero ninguno pudo decir cómo se accedió a la cuenta, ya que nadie más tenía acceso físico al teléfono de Ravindran, que genera el código multifactor. ¡Qué misterio!

No obstante, Ravindran afirmó que los datos de los clientes almacenados en la nube de AWS permanecieron intactos y no fueron accedidos por terceros, ni fueron descargados por el antiguo empleado en cuestión. «Porque si ese fuera el caso, recibiría una notificación por correo electrónico o algo así», dijo. Bueno, confiemos en su palabra.

Dicho esto, Ravindran afirmó que la startup tiene suficientes pruebas para presentar una denuncia formal a la policía, pero dijo que su investigación está en curso. Vamos, que esto no ha terminado.

Para colmo, la startup tampoco ha pagado completamente a sus empleados actuales, confirmó el cofundador de la empresa, poco después de que la empresa recaudara una ronda semilla de 100 millones de rupias indias (unos 1,2 millones de dólares), que, según Ravindran, aún no se ha ingresado por completo. ¡Esto ya es el colmo!

Entre sus inversores se encuentran Blume Ventures, Unpopular Ventures y Turbostart, así como la medallista olímpica PV Sindhu y el director gerente de Boston Consulting Group, Vikas Taneja. La empresa tiene 15 empleados ubicados en Bangalore y Kerala.

Análisis y Reflexiones sobre el Caso KiranaPro: Una Tormenta Perfecta de Errores y Posibles Consecuencias

El caso de KiranaPro no es solo una historia de pérdida de datos; es un ejemplo paradigmático de cómo una combinación de errores básicos en seguridad, gestión de personal y comunicación puede llevar a una empresa a una crisis severa, especialmente en un entorno competitivo y regulado como el del comercio electrónico en India. Analicemos con mayor profundidad los elementos clave que han contribuido a esta situación y las posibles consecuencias a las que se enfrenta KiranaPro.

1. Fallos Fundamentales en la Seguridad de la Información:

• No Desactivación de Cuentas de Empleados Salientes: Este es un error de seguridad de «nivel 1». En cualquier empresa que maneje datos sensibles, la desactivación inmediata de las cuentas de ex-empleados es una práctica estándar. La falta de esta medida básica abre la puerta a accesos no autorizados, ya sean intencionales o accidentales.
• Incertidumbre sobre la Autenticación Multifactor (MFA): Si bien se menciona que la cuenta de AWS estaba protegida por MFA, la incapacidad para explicar cómo se accedió a ella levanta serias dudas sobre la efectividad de la implementación de la MFA. ¿Se utilizaron contraseñas débiles? ¿Se comprometió el dispositivo del empleado? ¿Se implementó correctamente el proceso de verificación? Estas son preguntas críticas que deben responderse.
• Ausencia de Auditorías de Acceso: No parece haber mecanismos de auditoría robustos para rastrear quién accede a qué datos y cuándo. La falta de estos registros dificulta enormemente la investigación forense y la identificación de la causa raíz del problema.
• Dependencia Excesiva en un Único Punto de Fallo: La dependencia de una única cuenta (la del CEO) para la gestión de la cuenta de AWS es un riesgo significativo. Deberían existir cuentas de administrador con diferentes niveles de acceso y responsabilidades.
• Falta de un Plan de Respuesta a Incidentes: La reacción caótica y la falta de claridad en la comunicación sugieren la ausencia de un plan de respuesta a incidentes bien definido. Este plan debería incluir procedimientos para la identificación, contención, erradicación, recuperación y lecciones aprendidas en caso de incidentes de seguridad.

2. Debilidades en la Gestión de Recursos Humanos:

• Falta de un Departamento de RRHH a Tiempo Completo: La confesión de que la «baja de empleados no se estaba gestionando correctamente» debido a la falta de un departamento de RRHH a tiempo completo es alarmante. Un departamento de RRHH sólido es fundamental para garantizar el cumplimiento de las políticas de seguridad y la gestión adecuada del ciclo de vida del empleado, incluyendo la baja.
• Despidos Repentinos: Si la afirmación de que el empleado fue despedido «repentinamente» es cierta, esto podría haber creado un ambiente de resentimiento y venganza, lo que podría haber motivado al empleado a tomar acciones perjudiciales. Un proceso de despido justo y transparente es crucial para minimizar este riesgo.
• Falta de Controles Internos: La acusación pública contra el ex-empleado sin una investigación forense completa y sin pruebas sólidas es una violación de los principios de confidencialidad y presunción de inocencia. Esto podría generar problemas legales y dañar la reputación de la empresa.

3. Problemas de Comunicación y Transparencia:

• Declaraciones Contradictorias: La contradicción entre la declaración inicial de que fue una brecha interna y la posterior admisión de que no se puede descartar un ataque externo genera confusión y desconfianza.
• Acusaciones Públicas Sin Pruebas: La publicación del perfil de LinkedIn del ex-empleado y la acusación directa sin pruebas concretas es una táctica arriesgada y poco profesional.
• Falta de Transparencia con los Clientes: No está claro si KiranaPro ha informado a sus clientes sobre la posible exposición de sus datos. La transparencia es fundamental para mantener la confianza del cliente y cumplir con las obligaciones legales.

4. Posibles Consecuencias Legales y Reputacionales:

• Violaciones de Privacidad de Datos: Dependiendo de la legislación india sobre privacidad de datos (que está en constante evolución), KiranaPro podría enfrentarse a multas y sanciones por no proteger adecuadamente los datos de sus clientes.
• Demandas por Difamación: El ex-empleado podría demandar a KiranaPro por difamación si las acusaciones públicas resultan ser falsas o infundadas.
• Pérdida de Confianza del Cliente: La pérdida de datos y la forma en que KiranaPro ha gestionado la crisis podrían erosionar la confianza de sus clientes, lo que podría traducirse en una disminución de las ventas y la cuota de mercado.
• Dificultad para Atraer Inversión: Los inversores potenciales podrían mostrarse reacios a invertir en KiranaPro debido a los problemas de seguridad y gestión.
• Daño a la Reputación de la Marca: El caso de KiranaPro podría dañar la reputación de la marca y dificultar la atracción de nuevos clientes y empleados.

5. Lecciones Aprendidas:

El caso de KiranaPro ofrece una serie de lecciones valiosas para otras startups y empresas en crecimiento:

• La Seguridad de la Información Debe Ser una Prioridad: No se puede escatimar en seguridad. Invertir en seguridad desde el principio es mucho más rentable que lidiar con las consecuencias de una brecha de datos.
• Implementar Políticas y Procedimientos de Seguridad Robustos: Definir políticas claras sobre la gestión de contraseñas, el acceso a datos, la baja de empleados y la respuesta a incidentes.
• Automatizar Procesos de Seguridad: Automatizar tareas como la desactivación de cuentas de empleados y la monitorización de accesos puede ayudar a reducir el riesgo de errores humanos.
• Realizar Auditorías de Seguridad Periódicas: Las auditorías de seguridad ayudan a identificar vulnerabilidades y a garantizar que las políticas y procedimientos de seguridad se están cumpliendo.
• Formar a los Empleados en Seguridad: Los empleados deben ser conscientes de los riesgos de seguridad y recibir formación sobre cómo proteger los datos de la empresa.
• Gestionar los Despidos de Forma Ética y Profesional: Un proceso de despido justo y transparente puede ayudar a minimizar el riesgo de venganza.
• Comunicar con Transparencia y Responsabilidad: Ser honesto y transparente con los clientes y el público en general en caso de una brecha de datos puede ayudar a mitigar el daño a la reputación.
• Tener un Plan de Respuesta a Incidentes: Un plan de respuesta a incidentes bien definido puede ayudar a minimizar el impacto de una brecha de datos.

En Conclusión:

El caso de KiranaPro es un claro ejemplo de cómo la falta de atención a los detalles en seguridad, gestión de personal y comunicación puede tener consecuencias devastadoras para una startup. Para sobrevivir y prosperar, KiranaPro necesita abordar urgentemente sus deficiencias en estas áreas, aprender de sus errores y restaurar la confianza de sus clientes e inversores. De lo contrario, su historia podría convertirse en una advertencia para otras startups sobre los peligros de descuidar la seguridad de la información y la gestión adecuada de los recursos humanos. Este caso nos recuerda que la seguridad no es un lujo, sino una necesidad, especialmente en el mundo digital actual.