Home Depot expone acceso a sistemas internos durante un año, revela investigador
Un investigador de seguridad alertó a Home Depot sobre una vulnerabilidad que expuso sus repositorios de código y sistemas internos en la nube, pero no recibió respuesta durante semanas.
14/12/2025 | 13:37Redacción Cadena 3
FOTO: Home Depot expone acceso a sistemas internos durante un año, revela investigador
Un investigador de seguridad, Ben Zimmermann, reveló que Home Depot expuso el acceso a sus sistemas internos durante un año, tras la publicación accidental de un token de acceso privado por parte de un empleado. Este token, que fue descubierto por Zimmermann en noviembre, otorgó acceso a cientos de repositorios de código privados de la empresa en GitHub, así como a su infraestructura en la nube, incluyendo sistemas de gestión de pedidos e inventarios.
Zimmermann intentó alertar a Home Depot sobre esta grave vulnerabilidad, enviando varios correos electrónicos, pero no recibió respuesta. A pesar de que la empresa tiene una larga historia de alojar su infraestructura de desarrollo en GitHub desde 2015, no contaba con un programa de divulgación de vulnerabilidades o recompensas por errores, lo que dificultó la comunicación del investigador.
Después de varias semanas sin respuesta, Zimmermann decidió contactar a TechCrunch para que se hiciera eco de la situación. Al ser contactado por el medio el 5 de diciembre, un portavoz de Home Depot, George Lane, reconoció la recepción del correo, pero no proporcionó comentarios adicionales. Sin embargo, el token expuesto fue eliminado y su acceso revocado poco después de que se notificara a la empresa.
Zimmermann expresó su frustración, indicando que ha informado sobre exposiciones similares a otras empresas, las cuales han agradecido su intervención. "Home Depot es la única compañía que me ignoró", afirmó. La falta de un canal adecuado para reportar fallas de seguridad en Home Depot plantea interrogantes sobre la protección de sus sistemas internos y la respuesta ante incidentes de seguridad.
La situación pone de relieve la importancia de contar con protocolos claros para la divulgación de vulnerabilidades, especialmente en empresas que manejan grandes volúmenes de datos y operaciones críticas. La exposición de este token durante tanto tiempo podría haber permitido a actores maliciosos acceder a información sensible y comprometer la seguridad de la empresa.
Lectura rápida
¿Qué ocurrió con Home Depot?
Un investigador descubrió que Home Depot expuso el acceso a sus sistemas internos durante un año debido a un token de acceso publicado accidentalmente.
¿Quién alertó sobre la vulnerabilidad?
El investigador de seguridad Ben Zimmermann intentó notificar a Home Depot sobre la exposición del token.
¿Cuándo se descubrió la vulnerabilidad?
La vulnerabilidad fue descubierta en noviembre de 2025, aunque el token estuvo expuesto desde principios de 2024.
¿Cómo reaccionó Home Depot?
Home Depot no respondió a las alertas de Zimmermann durante semanas, pero tras la intervención de TechCrunch, el acceso fue revocado.
¿Por qué es importante este caso?
Resalta la necesidad de tener protocolos claros para la divulgación de vulnerabilidades en empresas que manejan información sensible.
