Dos hackers éticos revelaron recientemente graves fallos de seguridad en las plataformas operadas por Restaurant Brands International (RBI), la empresa matriz global de Burger King, Tim Hortons, Popeyes y Firehouse Subs.

RBI, formada en 2014 tras la fusión de Burger King y Tim Hortons por 12.5 mil millones de dólares, se ha convertido en un gigante multinacional con más de 32,000 restaurantes en más de 120 países. Sus plataformas gestionan enormes volúmenes de datos de clientes, lo que convierte la seguridad en una prioridad crítica.

Vulnerabilidades Detectadas

En su investigación —publicada inicialmente en un blog que luego fue retirado— los hackers detallaron la debilidad de las defensas de RBI:

“Descubrimos vulnerabilidades tan graves que podíamos acceder a cada tienda de toda su red global. Desde operaciones de franquicias hasta interacciones con clientes, nada estaba fuera de nuestro alcance.”

Entre los hallazgos más relevantes se encuentran:

• Mala configuración de AWS Cognito: RBI dejó habilitado el registro abierto de usuarios, lo que permitió la creación de cuentas no autorizadas con accesos elevados.
• Saltos en la verificación de correo electrónico: Un endpoint adicional enviaba credenciales en texto plano, facilitando el acceso sin verificación.
• Exposición crítica de plataformas: Los dominios de Burger King (bk.com), Popeyes (popeyes.com) y Tim Hortons (timhortons.com) eran vulnerables, lo que habría permitido a un atacante potencial:
  • Acceder y escuchar grabaciones de pedidos en los drive-thru.
  • Agregar, eliminar o gestionar tiendas franquiciadas.
  • Ver y modificar cuentas de empleados.
  • Extraer datos de ventas y analítica de las sucursales.
  • Subir archivos maliciosos o enviar notificaciones a los sistemas de las tiendas.
  • Explotar un sistema de pedidos de autoinstalación con contraseñas incrustadas en el HTML.

Riesgos para los Datos de Clientes y el Uso de IA

Uno de los hallazgos más preocupantes fue la exposición de grabaciones de audio de clientes, que incluían conversaciones de fondo e incluso información personal identificable (PII). Dichos audios estaban siendo utilizados en sistemas de inteligencia artificial para analizar métricas como:

• Sentimiento del cliente.
• Nivel de amabilidad del personal.
• Tasa de éxito en ventas adicionales.
• Eficiencia en el procesamiento de pedidos.

Este escenario plantea serias preocupaciones sobre la privacidad de los datos y el uso indebido de información sensible.

Respuesta Rápida, pero sin Reconocimiento

Las vulnerabilidades fueron descubiertas y reportadas en un solo día, y RBI aparentemente las corrigió de inmediato. Sin embargo, la compañía no ha reconocido públicamente a los investigadores ni ha comentado sobre la gravedad de los fallos.

Lecciones para las Empresas

Este caso deja varias lecciones críticas para las organizaciones globales:

• Las malas configuraciones en la nube son una de las vulnerabilidades más comunes y peligrosas. Es fundamental una correcta gestión de configuraciones y controles de acceso.
• Los datos personales y las grabaciones de voz deben protegerse con el mismo rigor que la información financiera o sanitaria, especialmente cuando se utilizan en análisis con IA.
• La transparencia y colaboración con la comunidad de ciberseguridad son claves. Ignorar o no reconocer a los investigadores desincentiva la divulgación responsable.

En el panorama actual de amenazas, las empresas deben tratar la ciberseguridad no como un asunto técnico secundario, sino como una prioridad estratégica que protege tanto la confianza del cliente como la reputación global de la marca.

Fuente: https://www.malwarebytes.com/blog/news/2025/09/popeyes-tim-hortons-burger-king-platforms-have-catastrophic-vulnerabilities-say-hackers