Resumen
- Las preguntas frecuentes actualizadas de Zendesk afirman que en 2019 fueron alertados sobre un incidente de seguridad que afectaba a cuentas de clientes de Support y Chat activadas antes de noviembre de 2016, y que la información de dichas cuentas había sido accedida sin autorización antes de esa fecha.
- La cuestión central de responsabilidad es: ¿quién tenía el control práctico sobre la retención de las bases de datos de soporte, la exposición de credenciales y tokens, el momento de la notificación a los clientes, la segmentación de inquilinos, la reconstrucción de auditoría y la prueba de que el contenido de los tickets estaba acotado?
- Los primeros reportajes públicos describieron el conjunto afectado como de aproximadamente 10 000 cuentas de Support y Chat; las preguntas frecuentes posteriores de Zendesk identifican unas 15 000 cuentas y afirman que cierta información de autenticación fue accedida para un subconjunto de unas 7000 cuentas de clientes.
- Los clientes que utilizan Zendesk para soporte, chat, centros de ayuda, integraciones y operaciones de atención al cliente tuvieron que determinar si los metadatos de soporte antiguos aún podían exponer a los agentes, usuarios finales, integraciones, certificados o la confianza posterior de sus propios clientes.
- El registro respalda una conclusión de responsabilidad de alta confianza sobre la retención, autenticación, notificación y límites probatorios. No respalda la invención de hechos privados sobre cada inquilino, cada ticket, cada credencial de aplicación, cada clave TLS o cada decisión posterior de los clientes.
Registro de evidencia y cómo se utiliza
Este artículo considera el registro público como evidencia estratificada, no como un relato único y completo. Los registros de la empresa se utilizan según lo declarado públicamente por Zendesk. Los informes de seguridad, la documentación para desarrolladores, los materiales legales, las guías de privacidad, las referencias a técnicas de vulnerabilidad y los estándares se utilizan para contextualizar la cronología, las obligaciones de control y las implicaciones para las partes afectadas. El análisis no trata los informes secundarios como prueba de hechos privados que el registro público no refleja.
| # | Registro público | Uso en este análisis |
|---|---|---|
| 1 | Preguntas frecuentes actualizadas de Zendesk sobre el incidente de seguridad de 2016 | Registro principal de la empresa utilizado para la descripción del incidente, la fecha de corte de activación de cuentas, las categorías de datos afectadas, la rotación de contraseñas, las credenciales de aplicaciones, las claves TLS, el límite de los datos de los tickets y la orientación al cliente. |
| 2 | Informe de CyberScoop sobre la brecha de datos de Zendesk | Informe de seguridad utilizado para el contexto de la divulgación pública inicial de 2019 y el encuadre de las cuentas afectadas. |
| 3 | Informe de SecurityWeek sobre la brecha de Zendesk | Informe de seguridad utilizado para el registro inicial de aproximadamente 10 000 cuentas y el contexto de la plataforma de soporte al cliente. |
| 4 | Informe de BleepingComputer sobre la brecha de Zendesk | Informe de seguridad utilizado para las categorías de cuentas expuestas, el contexto de riesgo del cliente nombrado y las implicaciones para la notificación a los clientes. |
| 5 | Centro de Confianza de Zendesk | Registro actual de confianza de la empresa utilizado para el contexto de seguridad, cumplimiento, cifrado, alojamiento en la nube y garantía. |
| 6 | Acuerdo de procesamiento de datos de Zendesk | Registro legal actual de la empresa utilizado para el contexto del responsable del tratamiento, encargado del tratamiento, datos del servicio, salvaguardas y deberes del cliente. |
| 7 | Protección de datos en la UE con Zendesk | Contexto de GDPR de la empresa utilizado para las responsabilidades compartidas de protección de datos entre Zendesk y los clientes. |
| 8 | Documentación de seguridad y autenticación para desarrolladores de Zendesk | Documentación para desarrolladores utilizada para el contexto de control de tokens API, tokens OAuth, usuarios verificados y autenticación de API. |
| 9 | Documentación de la API de tokens OAuth de Zendesk | Documentación para desarrolladores utilizada para el listado de tokens, la revisión de tokens por parte del cliente y el contexto de visibilidad de tokens. |
| 10 | Documentación de la API de aplicaciones de Zendesk | Documentación para desarrolladores utilizada para la gestión de aplicaciones instaladas, el contexto del registro de auditoría y las obligaciones de configuración de aplicaciones. |
| 11 | Documentación de solicitudes de aplicaciones de Zendesk | Documentación para desarrolladores utilizada para las solicitudes de aplicaciones de terceros, la gestión de secretos y el contexto de autenticación de integraciones. |
| 12 | Guía de Zendesk para la carga de certificados SSL | Documentación de soporte de la empresa utilizada para el contexto del manejo de certificados y claves subidos por los clientes. |
| 13 | Texto del Artículo 33 del GDPR | Referencia legal utilizada para el contexto de notificación a la autoridad de control cuando los clientes son responsables del tratamiento de los datos del servicio. |
| 14 | Texto del Artículo 5 del GDPR | Referencia legal utilizada para el vocabulario de minimización de datos, limitación del almacenamiento, integridad, confidencialidad y responsabilidad. |
| 15 | Marco de Ciberseguridad del NIST | Vocabulario de control para las funciones de identificar, proteger, detectar, responder, recuperar, gobernar y medir. |
| 16 | Guía de identidad digital NIST SP 800-63B | Guía de identidad utilizada para el contexto de verificación de contraseñas y control de autenticación. |
| 17 | Hoja de referencia de almacenamiento de contraseñas de OWASP | Guía de almacenamiento de contraseñas utilizada para hashes con sal, factores de trabajo y obligaciones de restablecimiento. |
| 18 | Técnica de MITRE ATT&CK: Cuentas válidas | Contexto de técnica para el riesgo posterior cuando cuentas válidas o material de autenticación quedan expuestos. |
| 19 | Técnica de MITRE ATT&CK: Credenciales en archivos | Contexto de técnica para credenciales de aplicaciones, claves TLS, ajustes de configuración y otro material de autenticación almacenado. |
El marco de responsabilidad es más estrecho que la culpa y más amplio que una base de datos antigua
Zendesk convirtió los datos de soporte antiguos en una prueba de responsabilidad sobre la confianza del cliente porque el incidente no fue solo un aviso de brecha histórica. El registro público muestra un incidente de seguridad que involucró cuentas activadas antes de noviembre de 2016, descubierto y comunicado en 2019, con posteriores actualizaciones de las preguntas frecuentes de Zendesk que identificaron información personal, contraseñas con hash y sal, cierto material de autenticación, configuraciones de aplicaciones y un pequeño número de certificados TLS.
Las mismas preguntas frecuentes afirman que Zendesk no encontró evidencia de que se accediera a los datos de los tickets en relación con el incidente. Esa combinación generó una pregunta práctica: ¿qué seguía siendo valioso exactamente en los antiguos sistemas de soporte años después de que las cuentas, pruebas, aplicaciones y certificados correspondientes se hubieran creado por primera vez?
La culpa es demasiado burda para esa pregunta. La responsabilidad pregunta quién tenía la autoridad, la evidencia, las herramientas y el deber de reducir el riesgo en cada etapa. Zendesk controlaba las bases de datos de cuentas de soporte y chat, las decisiones de retención heredadas, los registros de configuración de aplicaciones, el manejo de certificados subidos, el plan de rotación de contraseñas, la notificación al cliente y las preguntas frecuentes públicas.
Los clientes controlaban a sus propios agentes, usuarios finales, aplicaciones instaladas, credenciales de integración, la sustitución de certificados TLS, el análisis regulatorio y las reglas locales de retención de tickets. Los proveedores de aplicaciones de terceros controlaban partes de sus propios flujos de autenticación. Los reguladores controlaban cualquier determinación formal bajo la ley local. Cada parte tenía un papel, pero solo Zendesk podía hacer visible el límite de la brecha desde el lado del servicio.
Ese límite es el corazón del caso. Una plataforma de soporte está cerca de la relación entre una empresa y sus propios clientes. Incluso cuando una brecha afecta a la capa de cuentas de la plataforma de soporte en lugar de a los cuerpos de los tickets, el cliente aún debe preguntarse si los agentes, usuarios finales, aplicaciones, certificados o la confianza en el centro de ayuda están en riesgo. El deber del proveedor es hacer que esa respuesta sea útil en lugar de vaga.
Lo que establece el registro público
Las preguntas frecuentes actualizadas de Zendesk establecen varios puntos firmes. La empresa afirmó que fue alertada por un tercero sobre un incidente de seguridad que podría haber afectado a los productos de Soporte y Chat y a las cuentas de clientes activadas antes de noviembre de 2016. Dijo que los equipos de seguridad de Zendesk y expertos forenses externos investigaron. Afirmó que se accedió a información perteneciente a un pequeño porcentaje de clientes antes de noviembre de 2016.
Las preguntas frecuentes actuales identifican alrededor de 15 000 cuentas de Soporte y Chat, incluyendo cuentas de prueba expiradas y cuentas ya no activas, cuya información fue accedida sin autorización. También dice que las bases de datos expuestas incluían direcciones de correo electrónico, nombres de usuario, números de teléfono de agentes y usuarios finales, y contraseñas con hash y sal para agentes y usuarios finales, sin evidencia de que esas contraseñas se usaran para acceder a los servicios de Zendesk en relación con el incidente.
Las preguntas frecuentes también añaden una segunda capa. Zendesk afirmó que se accedió a cierta información de autenticación para unas 7000 cuentas de clientes, incluidas cuentas de prueba expiradas e inactivas. Enumeró claves de cifrado TLS proporcionadas por el cliente y configuraciones de aplicaciones del marketplace o privadas, que posiblemente incluían claves de integración utilizadas por esas aplicaciones para autenticarse en servicios de terceros.
Zendesk aconsejó a ciertos clientes rotar las credenciales de las aplicaciones, reemplazar los certificados subidos aún válidos y considerar la rotación de otro material de autenticación utilizado antes de noviembre de 2016. También afirmó que no encontró evidencia de que se accediera a los datos de los tickets en relación con este incidente.
Los reportajes secundarios recogen la primera forma pública del incidente. CyberScoop, SecurityWeek y BleepingComputer informaron en octubre de 2019 que Zendesk divulgó una brecha antigua que afectaba a unas 10 000 cuentas. Esa diferencia en el recuento no es motivo para elegir un registro y descartar el otro. Es una razón para leer el incidente como un proceso por etapas. La comprensión pública pasó de un encuadre inicial de 10 000 cuentas a unas preguntas frecuentes posteriores con detalles adicionales sobre cuentas y material de autenticación.
La discrepancia en el recuento público es en sí misma evidencia de responsabilidad
El manifiesto de este artículo utiliza el registro público de que Zendesk dijo en 2019 haber identificado accesos no autorizados asociados a aproximadamente 10 000 cuentas de Soporte y Chat de un incidente de 2016. Ese fue el encuadre público inicial. Las preguntas frecuentes actuales de Zendesk hablan de unas 15 000 cuentas y también identifican unas 7000 cuentas de clientes con cierta información de autenticación dentro del alcance. Ambos hechos importan. La primera cifra muestra con qué tuvieron que trabajar inicialmente los clientes y los reporteros.
La cifra actualizada muestra que el registro público se volvió más detallado y más complejo después.
Los registros de brechas por etapas no son intrínsecamente sospechosos. Las investigaciones a menudo cambian los recuentos a medida que se revisan los registros, se reconcilian las cuentas inactivas, se eliminan los duplicados y se separan las categorías de datos. La cuestión de responsabilidad es si los clientes pueden entender la diferencia. Un recuento de cuentas de Soporte y Chat no es lo mismo que un recuento de clientes con material de autenticación. Una cuenta de prueba no es lo mismo que un inquilino empresarial activo. Un hash de contraseña no es lo mismo que un token OAuth. Una clave TLS no es lo mismo que el contenido de un ticket.
Si un registro público usa una sola cifra para describir todas esas superficies, los clientes tomarán malas decisiones.
Las preguntas frecuentes de Zendesk ayudan al separar la información de la cuenta, la información de autenticación, la rotación de contraseñas, la rotación de credenciales de aplicaciones, la sustitución de certificados, el impacto en el producto y la evidencia sobre los datos de los tickets. El registro sería aún más sólido si cada recuento y clase de datos fuera más fácil de conciliar en una sola cronología pública. La lección no es que cada recuento inicial deba ser definitivo. La lección es que el motivo de cada recuento debe ser claro.
El objeto de confianza era la relación de soporte
El objeto de confianza en este caso era la relación de soporte. Zendesk no es solo una página de inicio de sesión. Es un entorno de soporte al cliente donde agentes, usuarios finales, tickets, chats, centros de ayuda, aplicaciones e integraciones ayudan a las empresas a gestionar las relaciones con los clientes. El sistema de soporte puede contener nombres, correos electrónicos, números de teléfono, problemas de productos, identificadores de cuenta, detalles de solución de problemas, archivos adjuntos y el estado operativo de la relación de un cliente con una empresa.
Incluso cuando no se demuestra que se haya accedido al contenido de los tickets, los datos de las cuentas de soporte circundantes pueden seguir siendo importantes.
Por eso el incidente tuvo más peso que una tabla de usuarios antigua. Los nombres y la información de contacto de los agentes pueden ayudar a dirigir ataques contra el personal de soporte. Los nombres y la información de contacto de los usuarios finales pueden ayudar a dirigir ataques contra los clientes de los clientes de Zendesk. Las contraseñas con hash y sal pueden generar obligaciones de restablecimiento y preocupaciones de reutilización. Las configuraciones de aplicaciones y las claves de integración pueden conectar el sistema de soporte con otros sistemas.
El material del certificado TLS puede afectar a los centros de ayuda con marca del cliente. Cada elemento afecta a una parte diferente de la relación de soporte.
El objeto de confianza también explica por qué los clientes necesitaban pruebas de que los datos de los tickets estaban acotados. Si no se accedió a los datos de los tickets, la carga de trabajo del cliente sigue siendo seria pero más limitada: credenciales, aplicaciones, certificados, contactos y análisis de notificaciones. Si se accedió a los cuerpos de los tickets, la carga de trabajo podría ampliarse a la notificación a los usuarios finales, la confidencialidad del producto, los archivos adjuntos, los historiales de servicio y los datos regulados.
La declaración pública de Zendesk de que no encontró evidencia de acceso a los datos de los tickets fue, por tanto, una afirmación material sobre el límite.
La retención heredada hizo que las cuentas antiguas fueran operativamente actuales
La antigüedad del incidente es el punto central. Las cuentas activadas antes de noviembre de 2016 seguían siendo relevantes en 2019 porque los registros antiguos pueden conservar significado operativo. Las preguntas frecuentes de Zendesk mencionan explícitamente las cuentas de prueba expiradas y las cuentas que ya no estaban activas. Esas categorías importan porque un cliente podría suponer que los registros inactivos o de prueba tienen poco valor.
En una plataforma de soporte, los registros antiguos aún pueden contener nombres de usuario, correos electrónicos, números de teléfono, contraseñas con hash, configuraciones de aplicaciones o material de certificados. La inactividad reduce algunos riesgos, pero no borra los datos.
La responsabilidad de la retención no es solo una cuestión de privacidad. Es una cuestión de seguridad y carga de trabajo para el cliente. Si las cuentas antiguas permanecen en una base de datos, el proveedor debe saber por qué se retienen, cómo se protegen, cuándo se eliminan o se desidentifican y qué deben hacer los clientes si se accede a ellas. El vocabulario de minimización de datos y limitación de almacenamiento del Artículo 5 del GDPR es útil aquí porque enmarca la retención como una obligación de control, no solo como un hábito de almacenamiento.
El Marco de Ciberseguridad del NIST añade la disciplina más amplia de identificar, proteger, detectar, responder y recuperar.
El registro público no muestra todas las reglas de retención de Zendesk en 2016 ni todos los cambios posteriores. Zendesk afirmó que realizó inversiones después de 2016, incluida una mayor protección de los datos personales sensibles y la alineación de los registros y la retención de datos con el GDPR. Esa declaración es útil, pero los clientes aún necesitaban evidencia específica del incidente: qué registros antiguos permanecían, cuáles estaban activos, cuáles inactivos, cuáles contenían material de autenticación y qué rotación o sustitución era necesaria.
Los hashes de contraseñas exigían un plan de acción para el cliente
Las preguntas frecuentes de Zendesk afirman que las contraseñas de agentes y usuarios finales estaban protegidas con hash y sal, y que Zendesk no encontró evidencia de que esas contraseñas se usaran para acceder a los servicios de Zendesk en relación con el incidente. Esto es mejor que un registro de robo de contraseñas en texto plano, pero no es un registro de no acción. Las contraseñas con hash y sal aún pueden ser atacadas sin conexión dependiendo del método de hashing, el factor de trabajo, la calidad de la contraseña del usuario y los recursos del atacante.
Si los usuarios reutilizaron contraseñas fuera de Zendesk, un verificador copiado puede generar riesgos posteriores incluso cuando Zendesk no vea accesos relacionados.
El plan de rotación de contraseñas de Zendesk abordó esa clase de riesgo. Las preguntas frecuentes dicen que la rotación se aplicó a ciertos agentes y usuarios finales creados antes del 1 de noviembre de 2016, cuando Zendesk no pudo identificar que el usuario hubiera cambiado la contraseña desde esa fecha y el usuario no estuviera usando inicio de sesión único. La rotación también afectó a los productos que comparten autenticación con Soporte, incluyendo Guide, Talk y Explore. Ese es un detalle de responsabilidad porque informa a los clientes quiénes debían actuar y por qué.
La guía de identidad digital del NIST y la guía de almacenamiento de contraseñas de OWASP se utilizan aquí para enmarcar la clase de control. La arquitectura exacta de las contraseñas privadas no es visible en el registro público, y este artículo no la inventa. El punto relevante es que un proveedor que almacena verificadores de contraseñas debe asumir que el robo es posible, proteger los verificadores contra ataques sin conexión y ejecutar un plan de restablecimiento o rotación que llegue a los usuarios correctos sin confundir a los clientes que usan inicio de sesión único.
El material de autenticación amplió el caso más allá del restablecimiento de contraseñas
La actualización más trascendente de las preguntas frecuentes de Zendesk es la capa del material de autenticación. Las preguntas frecuentes dicen que se accedió a cierta información de autenticación en aproximadamente 7000 cuentas de clientes. Los elementos enumerados incluyen claves de cifrado TLS proporcionadas por el cliente y configuraciones de aplicaciones para aplicaciones del marketplace o privadas, incluyendo posiblemente claves de integración utilizadas por esas aplicaciones para autenticarse en servicios de terceros. Ese lenguaje lleva el caso más allá de la rotación de contraseñas ordinaria.
Las credenciales de aplicaciones y el material TLS generan una obligación diferente para el cliente. Un restablecimiento de contraseña a menudo puede ser manejado por cada usuario en el siguiente inicio de sesión. Una credencial de aplicación puede conectar Zendesk con sistemas CRM, de facturación, almacenamiento de datos, mensajería, flujo de trabajo o identidad. Una clave privada TLS puede afectar a un centro de ayuda con marca del cliente o a una asignación de host. Las personas que tienen esas responsabilidades pueden no ser los mismos agentes que usan Zendesk a diario.
Pueden ser ingenieros de seguridad, propietarios de aplicaciones, administradores web o equipos de gestión de proveedores.
Zendesk aconsejó a los clientes que hubieran instalado aplicaciones del marketplace o privadas antes del 1 de noviembre de 2016 y guardado credenciales de autenticación durante la instalación, que rotaran las credenciales de esas aplicaciones. También aconsejó a los clientes que hubieran subido un certificado TLS aún válido antes de esa fecha, que lo reemplazaran y revocaran el antiguo. Esas instrucciones fueron concretas y muestran por qué el incidente no podía cerrarse solo con la rotación de contraseñas de las cuentas.
Las aplicaciones e integraciones convirtieron el soporte en un sistema conectado
La documentación para desarrolladores de Zendesk muestra por qué importa la configuración de las aplicaciones. La API de Apps puede gestionar e interactuar con las aplicaciones de Zendesk, y la documentación indica que las acciones de esos endpoints se registran en el registro de auditoría de la cuenta de Soporte afectada. La documentación sobre solicitudes de aplicaciones explica que las aplicaciones pueden realizar llamadas a la API REST y otras solicitudes HTTP, y pueden manejar tokens de acceso OAuth para servicios de terceros.
La documentación de seguridad de la API identifica los tokens de API y los tokens OAuth como formas de autorizar solicitudes. La documentación de tokens OAuth da a los administradores una forma de revisar las propiedades de los tokens.
Esos documentos actuales no son una prueba de cada configuración de aplicaciones de 2016. Se utilizan para identificar la superficie de control. Una aplicación de Zendesk no es simplemente un complemento visual. Puede conectar el espacio de trabajo de soporte con otros sistemas y contener o utilizar material de autenticación. Si se accedió a configuraciones de aplicaciones antiguas, el cliente necesita saber qué aplicaciones, qué credenciales, qué fechas, qué destinos y si es necesaria una rotación fuera de Zendesk.
Este es un problema recurrente en los servicios en la nube. Los clientes compran una plataforma y luego conectan integraciones hasta que la plataforma se convierte en un centro operativo. Cuando una brecha afecta a ese centro, el proveedor debe ayudar a los clientes a mapear los sistemas conectados. Sin ese mapa, el cliente tiene que inspeccionar aplicación por aplicación bajo presión de tiempo, a menudo años después de la instalación.
El material de certificados TLS creó una carga de prueba separada
El material de certificados TLS no es un dato de cuenta ordinario. Si un cliente subió un certificado y una clave privada para admitir un centro de ayuda con marca, el acceso a ese material podría afectar la capacidad del cliente para demostrar el control sobre un dominio o proteger el tráfico cifrado. Las preguntas frecuentes de Zendesk afirman que identificó un pequeño grupo de clientes cuyos certificados TLS fueron accedidos, y que casi todos ellos estaban expirados en el momento de las preguntas frecuentes.
Aconsejó a los clientes con certificados subidos aún válidos antes del 1 de noviembre de 2016, que subieran un nuevo certificado y revocaran el antiguo.
La guía de soporte de Zendesk para preparar un certificado para subir explica que los clientes pueden necesitar identificar archivos de certificado, crear un paquete y obtener un archivo de clave. Esa documentación muestra por qué el manejo de certificados es delicado: los procesos de subida pueden involucrar material de clave privada. El incidente, por tanto, tuvo que distinguir entre los metadatos del certificado y los secretos del certificado, los certificados expirados de los válidos, y los clientes que usaban opciones de certificado gestionadas por Zendesk de los que subían su propio material.
El registro público no prueba el uso indebido de las claves TLS. Sí establece una obligación de acción del cliente para una clase específica de clientes. La lección de responsabilidad es que el material criptográfico subido por el cliente requiere un inventario, una regla de retención y una vía de notificación separados. No debe quedar enterrado dentro de un mensaje general de brecha de cuentas de soporte.
El contenido de los tickets era el límite que más necesitaban los clientes
Las preguntas frecuentes de Zendesk afirman que no se encontró evidencia de que se accediera a los datos de los tickets en relación con el incidente. También dicen que si Zendesk determinaba que los datos del servicio de un cliente, incluida la información personal, se habían visto comprometidos, comunicaba específicamente esa determinación al cliente. Para los clientes de Zendesk, ese límite era central. El contenido de los tickets puede incluir quejas, historial de cuentas, problemas de productos, archivos adjuntos, detalles de solución de problemas, informes de fraude, referencias de salud, registros de estudiantes, preguntas de RR.
HH., problemas de pago o información de identidad, dependiendo del cliente.
Dado que el contenido de los tickets puede ser tan sensible, una declaración de no evidencia es útil pero no es la respuesta completa. Los clientes necesitaban entender la clase de evidencia: qué registros se revisaron, qué tablas de base de datos se separaron, si los archivos adjuntos estaban dentro del alcance, si las transcripciones de Chat diferían de los tickets de Soporte y cómo se mapearon las cuentas inactivas a los inquilinos activos. Las preguntas frecuentes públicas dan la conclusión y dicen que se contrató a expertos forenses externos.
No muestran el camino probatorio completo, y razonablemente no pueden publicar todos los detalles sensibles.
El estándar responsable es proporcionar suficiente estructura para que los clientes tomen sus propias decisiones legales y operativas. Si los datos de los tickets están acotados, los clientes pueden evitar notificaciones innecesarias a los usuarios finales. Si los datos de los tickets son inciertos, pueden necesitar evaluar los umbrales regulatorios. Un proveedor de plataforma de soporte debe reducir esa incertidumbre rápidamente porque el cliente, no el proveedor, puede ser el responsable del tratamiento de los datos del servicio.
Los roles de responsable y encargado del tratamiento cambiaron la carga de trabajo de notificación
Las preguntas frecuentes de Zendesk enmarcan expresamente a los clientes como responsables del tratamiento de los datos del servicio y a Zendesk como encargado del tratamiento cuando presta el servicio de Zendesk. Esa distinción importa porque explica por qué los clientes no podían simplemente esperar a que Zendesk tomara todas las decisiones regulatorias. Según el Artículo 33 del GDPR, un responsable del tratamiento puede tener la obligación de notificar a la autoridad de control cuando una violación de datos personales alcance el umbral legal.
Las preguntas frecuentes de Zendesk dijeron a los clientes que pondría a su disposición la información que tuviera para ayudarles a tomar esa determinación.
Esa es una descripción justa de los roles legales compartidos, pero también crea una alta carga probatoria para el encargado del tratamiento. Los clientes no pueden decidir si notificar a un regulador o a los usuarios finales sin saber qué categorías de datos se vieron afectadas, si se accedió a los datos del servicio, qué agentes y usuarios finales estaban dentro del alcance y si el material de autenticación podría afectar a otros sistemas. Si el proveedor retiene esos hechos y los divulga lenta o ambiguamente, los clientes soportan incertidumbre legal sin la evidencia necesaria para resolverla.
El acuerdo de procesamiento de datos de Zendesk y los materiales sobre el GDPR proporcionan el contexto legal general. El registro del incidente de 2016 muestra la versión operativa de ese contexto. Un cliente puede ser legalmente responsable de las decisiones sobre sus datos del servicio, pero depende del registro de investigación de Zendesk para tomar esas decisiones. Por eso compartir evidencia no es una cortesía; es parte de la función de responsabilidad del encargado del tratamiento.
La segmentación de inquilinos era la capa de garantía no visible
La segmentación de inquilinos determina si una brecha en la plataforma permanece acotada. Las preguntas frecuentes de Zendesk dicen que las cuentas afectadas eran un pequeño porcentaje de clientes y que los clientes cuyos datos del servicio se determinó que estaban comprometidos fueron notificados específicamente. También dicen que no hubo evidencia de que otros productos además de Soporte y Chat se vieran afectados, aunque la rotación de contraseñas alcanzó a productos que comparten autenticación con Soporte. Esas declaraciones se basan en evidencia de segmentación que los clientes no podían revisar de forma independiente.
La segmentación en una plataforma de soporte incluye más que la separación de bases de datos. Incluye los límites de los productos, los ámbitos de autenticación, la configuración de aplicaciones, los certificados subidos por el cliente, los almacenes de tickets, las pruebas expiradas, las cuentas inactivas, los servicios compartidos, los registros y las herramientas de soporte utilizadas por el personal de Zendesk. Si la segmentación es sólida y está bien documentada, el proveedor puede decir a los clientes por qué los datos de sus tickets no estaban en el alcance aunque los metadatos de la cuenta sí lo estuvieran.
Si la segmentación es débil, los registros antiguos pueden crear un radio de alcance inesperado.
El registro público no expone la arquitectura completa de inquilinos de Zendesk. Eso es normal. Pero la empresa aún tenía que proporcionar conclusiones de cara al cliente que fueran lo suficientemente específicas como para actuar: fechas de cuentas afectadas, nombres de productos afectados, categorías de datos, condiciones de rotación de contraseñas, categorías de material de autenticación, límite de los datos de los tickets y comunicaciones específicas con el cliente. Esos son los resultados públicos de la evidencia privada de segmentación.
La reconstrucción de la auditoría fue parte de la recuperación, no un trabajo de fondo
Zendesk dijo que contrató a expertos forenses externos, activó su equipo de respuesta a incidentes de seguridad, informó a las fuerzas del orden y a los reguladores globales apropiados, y continuó investigando. Son acciones estándar de respuesta a incidentes, pero en este caso cumplieron una función especial: reconstruir un evento antiguo.
Cuando un incidente de 2016 se divulga públicamente en 2019, la empresa debe trabajar hacia atrás a través de registros, estados de cuentas, registros de bases de datos, fechas de instalación de aplicaciones, fechas de subida de certificados, historial de cambios de contraseñas, límites de productos y estado del cliente.
Esa reconstrucción es más difícil que la contención en vivo. Los registros pueden haber caducado. Las cuentas pueden estar inactivas. Las cuentas de prueba pueden no tener propietarios activos. Las credenciales de las aplicaciones pueden haber sido reemplazadas, o pueden seguir usándose silenciosamente en un proceso de negocio. Los certificados TLS pueden haber expirado, renovado o sido reemplazados. Los empleados que instalaron las aplicaciones pueden haberse ido. Los clientes pueden haber cambiado sus contactos legales. Estos hechos ordinarios hacen que la brecha antigua sea operativamente actual.
Por lo tanto, el registro debe tratar la reconstrucción de la auditoría como evidencia de recuperación, no como un detalle forense de fondo. Los clientes necesitaban saber qué fechas de corte importaban, qué fechas de instalación requerían acción, qué clases de credenciales necesitaban rotación y qué registros tenía Zendesk suficiente confianza para excluir. Un registro de reconstrucción sólido previene tanto la reacción insuficiente como la sobrerreacción innecesaria.
Los registros de confianza actuales son un contexto útil, no una prueba retroactiva
El Centro de Confianza de Zendesk describe las prácticas actuales de seguridad, cumplimiento, cifrado, centro de datos y garantía. El acuerdo de procesamiento de datos describe el marco legal actual para los datos del servicio y las salvaguardas. La documentación para desarrolladores describe la autenticación actual de la API, la gestión de aplicaciones, la visibilidad de los tokens OAuth y los patrones de solicitud de las aplicaciones. Estos registros son útiles porque muestran el vocabulario de control que los clientes utilizan al evaluar Zendesk hoy.
No deben interpretarse como una prueba retroactiva de todos los controles de 2016. Un Centro de Confianza actual no prueba qué registros existían en las bases de datos heredadas. Una página actual de tokens de API no prueba qué tokens o configuraciones estaban presentes en 2016. Una página actual de ayuda sobre certificados no prueba cada detalle del manejo de claves subidas por el cliente del período del incidente. El uso correcto es más limitado y disciplinado: los documentos actuales identifican los tipos de controles y responsabilidades del cliente que hacen que el incidente de 2016/2019 sea significativo.
Esa distinción previene dos errores comunes. El primero es ignorar los registros actuales de la empresa que nombran superficies de confianza reales. El segundo es tratar el lenguaje de confianza actual como una respuesta completa a una brecha antigua. La lectura madura utiliza las preguntas frecuentes del incidente para el evento y los documentos actuales para comprender las clases de control que los clientes deben examinar.
Lo que el registro público no prueba
Un artículo cuidadoso debe nombrar lo que no sabe. El registro público no muestra la vía técnica inicial exacta utilizada en 2016. No revela todas las tablas afectadas, cada entrada de registro, cada inquilino, cada instalación de aplicación, cada certificado o cada comunicación con el cliente. No prueba que cada contraseña con hash fuera descifrada. No prueba que las credenciales de las aplicaciones se usaran contra servicios de terceros. No prueba que las claves TLS se usaran indebidamente. No prueba que se accediera a los datos de los tickets.
No muestra todos los controles de seguridad posteriores ni todas las interacciones con los reguladores.
Esos límites no son una debilidad en el análisis. Son la superficie de responsabilidad. Los clientes necesitaban suficiente evidencia para decidir qué rotar, qué reemplazar, qué decir a los agentes y usuarios finales, qué evaluar bajo la ley de privacidad y si el contenido de los tickets estaba acotado. Zendesk estaba en mejor posición que cualquier cliente individual para reducir la incertidumbre sobre los hechos del lado del servicio.
Por lo tanto, la conclusión más sólida está acotada. Zendesk tuvo que gestionar un incidente antiguo de cuentas de soporte, la rotación de contraseñas, la revisión de credenciales de aplicaciones, la sustitución de certificados, la notificación específica al cliente y la garantía del límite de los tickets. El registro público respalda esas obligaciones. No respalda la ampliación del incidente a un robo de contenido de tickets sin fundamento o a un compromiso de terceros sin fundamento.
Un registro público más sólido separaría cada superficie afectada
Un registro público más sólido pondría las principales superficies en un único mapa de acciones. Separaría la información de las cuentas de Soporte y Chat del material de autenticación. Separaría a los clientes activos de las pruebas expiradas y las cuentas inactivas. Separaría las contraseñas con hash de las credenciales de aplicaciones y las claves TLS. Separaría la rotación de contraseñas de usuario de la rotación de credenciales de aplicaciones y la sustitución de certificados. Separaría los datos de los tickets de los metadatos de las cuentas y explicaría la base de ese límite a nivel de clase.
El mapa también describiría los roles del cliente. Los agentes y usuarios finales necesitan orientación sobre las contraseñas. Los administradores de Zendesk necesitan orientación sobre las cuentas y productos afectados. Los propietarios de aplicaciones necesitan orientación sobre las credenciales de integración. Los administradores web necesitan orientación sobre los certificados. Los equipos de privacidad necesitan evidencia sobre el responsable y el encargado del tratamiento. Los equipos de seguridad necesitan orientación sobre auditoría, tokens y revisión de accesos.
Los ejecutivos necesitan una declaración concisa del riesgo residual y el impacto en el cliente. Esos públicos no son intercambiables.
Esto no requiere publicar detalles sensibles. Requiere un árbol de decisión. Si su cuenta se creó después de la fecha de corte, aquí está el límite de la evidencia. Si su cuenta usó inicio de sesión único, aquí está lo que cambia y lo que no. Si instaló una aplicación antes de la fecha de corte y almacenó secretos, rótelos. Si subió un certificado que aún es válido, reemplácelo y revoque el antiguo. Si los datos de los tickets no estaban en el alcance, aquí está la clase de evidencia que respalda esa afirmación.
Los compradores deberían preguntar sobre los datos de soporte antiguos antes de la renovación
Los clientes y compradores de Zendesk no deberían esperar a que ocurra un incidente para preguntar sobre los datos de soporte antiguos. Una plataforma de soporte puede acumular silenciosamente agentes, usuarios finales, tickets, campos personalizados, macros, aplicaciones, webhooks, certificados, tokens de API, clientes OAuth y registros de prueba. Algunos de esos datos pueden ser necesarios para auditoría, servicio al cliente o defensa legal. Otros pueden simplemente permanecer porque la eliminación es difícil. El momento de la renovación es cuando los clientes tienen influencia para preguntar qué es cada cosa.
Las preguntas útiles son prácticas. ¿Cuánto tiempo se retienen las cuentas inactivas? ¿Cómo se eliminan o desidentifican las pruebas expiradas? ¿Qué sucede con los registros antiguos de agentes y usuarios finales? ¿Cómo se protegen los verificadores de contraseñas? ¿Cómo pueden los clientes listar las aplicaciones instaladas y sus fechas de instalación? ¿Pueden los administradores revisar los tokens OAuth y los tokens de API? ¿Cómo se almacenan y retiran las claves TLS subidas por el cliente? ¿Cómo se segmentan los almacenes de tickets de los metadatos de las cuentas? ¿Qué evidencia compartirá el proveedor si se descubre un incidente antiguo?
Estas preguntas no son conflictivas. Hacen que ambas partes sean mejores durante un fallo. El proveedor sabe qué evidencia preservar y divulgar. El cliente sabe qué propietarios locales deben actuar. El incidente de Zendesk sigue siendo útil porque muestra cómo los registros de soporte antiguos pueden generar trabajo nuevo.
Las juntas directivas deberían tratar los sistemas de soporte como infraestructura de confianza del cliente
Las juntas directivas a menudo tratan los sistemas de soporte como herramientas operativas en lugar de infraestructura de confianza del cliente. El registro de Zendesk muestra por qué eso es demasiado limitado. Un sistema de soporte puede contener datos de contacto, material de credenciales, integraciones, certificados, contenido de tickets e historiales de soporte. Puede situarse entre una empresa y sus clientes más frustrados o vulnerables. También puede conectarse a muchos otros sistemas a través de aplicaciones y API.
Si esa plataforma tiene una brecha heredada, la empresa que la utiliza tiene que responder preguntas de sus propios clientes, no solo de su equipo de gestión de proveedores.
Por lo tanto, las preguntas de la junta deberían incluir retención, acceso, integración y notificación. ¿Qué plataformas de soporte contienen datos de clientes? ¿Qué aplicaciones tienen secretos? ¿Qué certificados o dominios personalizados están alojados allí? ¿Qué usuarios tienen roles privilegiados? ¿Qué registros son más antiguos que la necesidad empresarial actual? ¿Qué notificaciones del proveedor desencadenarían un análisis regulatorio? ¿Qué equipos son responsables de la rotación de contraseñas, la rotación de credenciales de aplicaciones y la sustitución de certificados?
El proveedor también tiene deberes a nivel de junta. Debe saber qué registros antiguos permanecen, si la retención tiene un propósito real, si las credenciales están segregadas, si se rastrean las claves subidas por el cliente, si las configuraciones de las aplicaciones son auditables y si los avisos de incidentes dan a los clientes suficiente evidencia para actuar. Esas son cuestiones de gobernanza, incluso cuando la evidencia se encuentra en los registros de ingeniería.
El lenguaje contractual debería seguir las superficies de la plataforma de soporte
Las cláusulas genéricas de brecha son demasiado escasas para una plataforma de soporte. El lenguaje contractual debería seguir las superficies que importan. Si el proveedor almacena datos de cuentas, el contrato debería abordar la protección del verificador de contraseñas, el estado del inicio de sesión único, las cuentas activas e inactivas y la rotación de contraseñas. Si el proveedor aloja tickets de soporte, el contrato debería abordar los datos de los tickets, los archivos adjuntos, los campos personalizados, la retención, la eliminación y la notificación específica al cliente.
Si el proveedor admite aplicaciones y API, el contrato debería abordar las credenciales de integración, la revisión de tokens, el inventario de aplicaciones y los registros de auditoría. Si el proveedor almacena material TLS subido por el cliente, el contrato debería abordar el manejo de claves, la expiración, la sustitución y la guía de revocación.
El contrato también debería especificar las categorías de evidencia después de un incidente. Los clientes necesitan conocer los rangos de fechas afectados, los nombres de los productos afectados, las clases de datos, las clases de credenciales, las acciones del cliente, las superficies excluidas y los métodos de revisión. Necesitan contactos de administrador distintos de los avisos a los usuarios ordinarios. Necesitan suficiente información para decidir si se requiere una notificación regulatoria cuando son responsables del tratamiento de los datos del servicio.
El registro de Zendesk es un buen ejemplo porque el incidente público afectó a cuentas antiguas, material de autenticación, certificados, configuraciones de aplicaciones, rotación de contraseñas y garantía del límite de los tickets. Un contrato que solo mencione datos personales puede pasar por alto los secretos de las aplicaciones. Un contrato que solo mencione el tiempo de actividad de la aplicación puede pasar por alto la retención histórica. La responsabilidad sigue a la superficie que falló.
Los indicadores operativos harían que las futuras afirmaciones fueran comprobables
Varios indicadores harían que un futuro incidente en una plataforma de soporte fuera más fácil de comprobar. Para los datos de cuentas, el proveedor puede indicar las fechas de creación de las cuentas afectadas, los recuentos de cuentas activas frente a inactivas, las categorías de agentes frente a usuarios finales, el estado del cambio de contraseña, las exclusiones del inicio de sesión único y el estado de la rotación.
Para el material de autenticación, puede indicar los rangos de fechas de instalación de las aplicaciones, los tipos de credenciales, las opciones de revisión de tokens OAuth y API, la orientación para los propietarios de aplicaciones y las recomendaciones de rotación de terceros. Para el material TLS, puede indicar si los certificados están expirados o son válidos, si las claves privadas estaban dentro del alcance y cómo los clientes deben reemplazarlos y revocarlos. Para los datos de los tickets, puede indicar qué almacenes se revisaron y qué evidencia respalda la exclusión.
Para la acción del cliente, el proveedor puede separar los pasos del usuario individual de los pasos del administrador. Los usuarios pueden necesitar restablecer contraseñas. Los administradores pueden necesitar listar aplicaciones, rotar secretos, revisar tokens, reemplazar certificados y documentar el análisis de privacidad. Los equipos de privacidad pueden necesitar decidir si se aplica el Artículo 33 u otras obligaciones de notificación. Los equipos de seguridad pueden necesitar inspeccionar los registros en busca de accesos sospechosos relacionados.
Los líderes de soporte pueden necesitar advertir a los agentes y preparar respuestas para los usuarios finales.
Estos indicadores no requieren registros brutos. Hacen que las afirmaciones públicas sean utilizables. Las preguntas frecuentes de Zendesk contienen muchas de las categorías correctas: fecha de corte, productos afectados, reglas de rotación de contraseñas, material de autenticación, credenciales de aplicaciones, claves TLS, límite de los datos de los tickets, roles de responsable y encargado del tratamiento, y comunicaciones específicas con el cliente. Un registro más sólido haría que la conciliación de la cronología y los recuentos fuera aún más fácil de seguir.
La cuestión de la recurrencia es más amplia que Zendesk
La cuestión de la recurrencia no es si Zendesk repite el mismo evento. La cuestión es si las plataformas de soporte, las herramientas de CRM, los sistemas de chat y los centros de flujo de trabajo han aprendido la lección de los datos antiguos. Un sistema de soporte puede convertirse en un almacén de larga duración de identidades, contexto operativo, registros de contacto de clientes, material de autenticación y secretos de integración. Una brecha descubierta años después puede hacer que los datos antiguos vuelvan a ser actuales, porque los clientes aún deben decidir qué rotar, reemplazar, notificar o monitorizar.
El registro de Zendesk pertenece a un catálogo de responsabilidad más amplio para la dependencia de servicios en la nube y la automatización del software empresarial. La automatización concentra registros y credenciales en lugares que son fáciles de olvidar después de la instalación. La dependencia de la nube otorga a los proveedores control sobre la evidencia que los clientes necesitan para tomar decisiones legales y operativas. La localidad y la soberanía de los datos añaden otra capa, porque los clientes de diferentes regiones pueden tener diferentes obligaciones de notificación incluso cuando el mismo incidente de plataforma les afecta.
La lección constructiva es diseñar las plataformas de soporte como sistemas de datos responsables desde el principio. Retener solo lo que tiene un propósito. Proteger las credenciales como si los registros copiados fueran a ser atacados. Facilitar el inventario de aplicaciones y tokens. Mantener los datos de los tickets segmentados de los metadatos de las cuentas. Preparar vías de notificación específicas para el cliente antes de una brecha. Hacer que los registros antiguos sean más fáciles de explicar cuando el ciclo de noticias ha pasado pero la obligación del cliente no.
La conclusión sobre la responsabilidad
La conclusión es que Zendesk controlaba la evidencia heredada del lado del servicio que los clientes necesitaban. Los usuarios podían cambiar las contraseñas, los administradores podían rotar las credenciales de las aplicaciones, los equipos web podían reemplazar los certificados y los equipos de privacidad podían evaluar las obligaciones de notificación. Pero ninguna de esas partes podía verificar de forma independiente el límite de la base de datos de soporte, el alcance del material de autenticación, la exclusión de los datos de los tickets o la evidencia de segmentación de inquilinos.
Eso convirtió las preguntas frecuentes públicas de Zendesk y las comunicaciones específicas con el cliente en las principales herramientas para la toma de decisiones de los clientes.
La conclusión más sólida sobre la responsabilidad no es que todos los daños temidos ocurrieran. La conclusión más sólida es que los registros de soporte antiguos pueden conservar suficiente valor como para generar nuevo trabajo para los clientes años después. El registro público respalda las obligaciones en torno a la retención, la rotación de contraseñas, las credenciales de aplicaciones, el material TLS, la notificación al cliente y la prueba del límite de los tickets. También respalda la moderación en torno a las afirmaciones que la evidencia pública no establece.
Para los compradores, la lección es solicitar categorías de evidencia antes de la renovación. Para las juntas directivas, es tratar los sistemas de soporte como infraestructura de confianza del cliente. Para los reguladores, es examinar si los registros antiguos se retuvieron, protegieron y explicaron de forma que permitiera a los responsables del tratamiento tomar sus propias decisiones. Para los clientes, es mantener un inventario de aplicaciones, certificados, tokens y roles de administrador de la plataforma de soporte antes de que llegue el próximo incidente antiguo.
La decisión del lector
El lector debería irse con una pregunta práctica. Si hoy una plataforma de soporte revelara que se accedió a cuentas antiguas, hashes de contraseñas, configuraciones de aplicaciones, credenciales de integración y material TLS años atrás, ¿podría el proveedor mostrar el rango de fechas afectado, las clases de cuentas activas e inactivas, la evidencia sobre tokens y aplicaciones, la vía de sustitución de certificados, el límite de los datos de los tickets, la notificación específica al cliente y el apoyo a la decisión regulatoria sin obligar a cada cliente a adivinar a partir de registros dispersos?
Si la respuesta es no, el registro de Zendesk sigue siendo actual como lección de responsabilidad.
El estándar justo no es la exposición pública de cada detalle técnico sensible. El estándar justo es una prueba pública disciplinada. Decir lo que ocurrió. Decir lo que se sabe. Decir qué registros se vieron afectados. Decir qué registros no se vieron afectados y por qué. Decir quién debe actuar. Decir qué cambió a medida que evolucionó la investigación. Decir cómo los clientes pueden verificar su propio estado. En el registro de Zendesk, esas obligaciones definen la superficie de confianza del cliente con más claridad que cualquier recuento de cuentas individual.
Tipografía
La tipografía es el arte y la técnica de disponer los tipos para hacer que el lenguaje escrito sea legible, fácil de leer y visualmente atractivo. Implica la selección de tipografías, tamaños de punto, longitudes de línea, interlineado y espaciado entre letras.
- La tipografía se originó con la invención de los tipos móviles por Johannes Gutenberg en el siglo XV.
- Los elementos clave incluyen la elección de la fuente, el kerning, el tracking y el interlineado.
- Una buena tipografía mejora la legibilidad y transmite el estado de ánimo o el tono en el diseño.

