Una vulnerabilidad en la plataforma DoorDash for Business permitió durante semanas que cualquier persona enviara correos electrónicos con apariencia oficial —incluyendo plantillas corporativas y remitentes legítimos como no-reply@doordash.com.
El problema ya fue corregido, pero la divulgación generó un fuerte conflicto entre la empresa y el investigador que reportó el hallazgo.
Cómo funcionaba el fallo: correos legítimos con contenido malicioso
El error fue descubierto por el investigador pseudónimo doublezero7, quien demostró que un atacante podía crear una cuenta gratuita, agregar un “Empleado” con cualquier nombre o correo y manipular el campo Budget name para inyectar HTML sin sanitización.
El backend corporativo permitía:
Añadir un empleado ficticio
Asignar presupuestos de comidas
Editar campos que se enviaban directamente al correo
Insertar HTML arbitrario, incluyendo etiquetas no cerradas, estilos, elementos ocultos y eventos permitidos
El correo resultante llegaba al destinatario con el diseño oficial de DoorDash, enviado desde servidores legítimos y con una tasa de entrega prácticamente perfecta, evitando filtros antispam tradicionales.
HTML injection: el vector clave
Según el investigador, la vulnerabilidad tenía su origen en el tratamiento del campo Budget name, almacenado sin sanitización y enviado directamente al cuerpo del correo.
Al manipular etiquetas HTML y aplicar estilos como display:none, era posible:
Ocultar por completo el bloque de información original
Reemplazarlo por contenido totalmente fabricado
Inyectar payloads HTML convincentes
Construir correos con llamados a la acción falsos, como “Claim Free $20 Voucher”
El sistema incluso permitía varios eventos HTML (excepto onerror), lo que ampliaba la superficie de ataque.
Phishing escalable y sin restricciones
El investigador confirmó que los correos generados mediante esta técnica no estaban limitados a usuarios de DoorDash.
En otras palabras, un actor malicioso podía enviar campañas masivas de phishing dirigidas a:
Usuarios externos
Empresas
Comercios
Cualquier dirección de correo disponible
El impacto potencial era enorme: mensajes 100% legítimos a nivel técnico, enviados desde infraestructura autorizada y con apariencia corporativa.
Una situación similar a incidentes previos en la industria
El caso guarda similitudes con fallos previos descubiertos en plataformas de otras grandes empresas tecnológicas, donde la manipulación de formularios internos permitía enviar correos desde dominios oficiales sin autenticación adicional.
Estos incidentes demostraron cómo errores aparentemente menores pueden escalar a esquemas de ingeniería social extremadamente convincentes.
Un conflicto por la divulgación responsable
Aunque DoorDash corrigió el problema, el proceso de comunicación derivó en acusaciones cruzadas entre la empresa y el investigador.
Ambas partes aseguran haber actuado de forma correcta, pero discrepan en torno a los tiempos, el manejo de la información y la forma en que se gestionó la divulgación.
Recomendaciones para organizaciones en LATAM
El incidente subraya la importancia de revisar cómo las plataformas internas generan comunicaciones externas. Las empresas deben:
Implementar sanitización estricta de campos dinámicos
Limitar quién puede generar correos corporativos
Revisar workflows internos con enfoque de abuso y edge cases
Prohibir HTML arbitrario o eventos en formularios administrativos
Auditar entornos Business-to-Employee y Business-to-Merchant
En un escenario donde el phishing sigue siendo el vector inicial más exitoso en ataques corporativos, cada brecha en sistemas de correo puede convertirse en un arma poderosa.
