1) El hecho Ernst & Young (EY), una de las cuatro firmas de auditoría más grandes del mundo, notificó a sus clientes una violación de datos tras el compromiso de un sistema de tickets de soporte de terceros utilizado por su equipo de TI. El acceso no autorizado ocurrió entre el 28 de marzo y el 12 de abril de 2026, y se descargaron documentos con información fiscal de clientes. La empresa detectó la actividad anómala el 23 de abril y notificó a las autoridades federales. EY afirma no tener evidencia de uso indebido de los datos hasta ahora.
2) Contexto Con 406.000 empleados e ingresos globales de 53.200 millones de dólares, EY opera en más de 150 países. El sistema comprometido contenía datos personales y financieros utilizados en preparaciones de declaraciones fiscales de clientes. La notificación de violación no especifica cuántos clientes fueron afectados ni si el impacto se limita a clientes estadounidenses o se extiende internacionalmente. Como mitigación, EY ofrece 24 meses de monitoreo de identidad a través de Experian. Ningún grupo de ransomware ha reclamado la autoría del ataque hasta el momento.
3) Análisis El incidente expone una vulnerabilidad crítica en el ecosistema de las Big Four: la dependencia de sistemas de soporte de terceros con acceso a datos altamente sensibles de clientes, incluyendo declaraciones fiscales, registros financieros e información personal identificable. Los 11 días entre el fin del acceso no autorizado (12 de abril) y la detección (23 de abril) revelan deficiencias significativas de monitoreo incluso en una firma con ingresos anuales de miles de millones. La ausencia de reclamos de extorsión sugiere dos posibilidades: los datos podrían estar preparándose para su venta en el mercado subterráneo o para ataques dirigidos futuros, o los atacantes aún están evaluando el material robado. La falta de especificidad en la notificación sobre los tipos de datos expuestos — la muestra contenía un marcador de posición para las descripciones — es profundamente preocupante. Para una empresa con ingresos anuales de 53.000 millones de dólares, no detectar una filtración durante 11 días demuestra que incluso las organizaciones con recursos casi ilimitados tienen puntos ciegos de seguridad críticos.
4) Qué observar • Posible acción regulatoria: las violaciones en firmas de auditoría atraen el escrutinio de la SEC y reguladores europeos. • Si los datos fiscales expuestos incluyen información de empresas públicas, el impacto reputacional y legal podría ser severo. • El silencio de grupos de ransomware puede indicar exfiltración silenciosa. • Otras Big Four deberían auditar inmediatamente a sus propios proveedores de soporte de terceros.
Fuente: BleepingComputer