Aflac sufre brecha de seguridad en ataque coordinado contra aseguradoras estadounidenses

Introducción

El pasado viernes, la aseguradora estadounidense Aflac notificó públicamente una brecha de seguridad en sus sistemas, enmarcada en una campaña más amplia dirigida contra compañías aseguradoras en Estados Unidos. El incidente ha puesto en alerta a la industria, ya que los atacantes habrían accedido a información personal y datos de salud de clientes, abriendo la puerta a riesgos asociados a la protección de datos y cumplimiento normativo. Este artículo analiza en profundidad los hechos, los vectores de ataque detectados y las implicaciones para el sector asegurador.

Contexto del Incidente

Aflac, uno de los mayores proveedores de seguros en Estados Unidos, reveló que fue víctima de un ciberataque que afectó a sistemas críticos, con indicios de exfiltración de información sensible. Según fuentes internas, la intrusión forma parte de una campaña coordinada que ha impactado, al menos, a otras cinco aseguradoras durante el primer semestre de 2024, utilizando técnicas avanzadas de acceso inicial y movimiento lateral.

El ataque se produce en un contexto de creciente presión regulatoria sobre el sector asegurador en materia de ciberseguridad, especialmente tras la entrada en vigor de la directiva NIS2 de la UE y el endurecimiento de los requisitos de notificación bajo el GDPR para el tratamiento de datos personales y de salud.

Detalles Técnicos

Hasta el momento, la investigación preliminar apunta a la explotación de vulnerabilidades conocidas en sistemas de gestión de identidades (IAM) y portales web de clientes, aunque no se ha publicado el identificador CVE específico. No obstante, fuentes próximas al incidente sugieren la posible explotación de CVE-2023-34362 (MOVEit Transfer), una vulnerabilidad de inyección SQL ampliamente aprovechada en campañas recientes contra el sector financiero y sanitario.

El vector de ataque inicial habría consistido en el envío de correos electrónicos de phishing con archivos adjuntos maliciosos, que desplegaban cargas de acceso remoto (RATs) y posteriormente permitían la ejecución de scripts para la escalada de privilegios. Se ha detectado el uso de herramientas como Cobalt Strike y Metasploit para persistencia y reconocimiento interno, así como técnicas MITRE ATT&CK tales como:

– Initial Access: Spearphishing Attachment (T1566.001)
– Execution: Command and Scripting Interpreter (T1059)
– Credential Access: OS Credential Dumping (T1003)
– Exfiltration: Exfiltration Over Web Service (T1567)

Entre los indicadores de compromiso (IoC) identificados destacan direcciones IP asociadas a infraestructura de C2 en Europa del Este y hashes de archivos relacionados con variantes de malware customizadas para evadir EDRs.

Impacto y Riesgos

Según Aflac, la brecha podría haber afectado a aproximadamente el 12% de su base de datos de clientes, lo que se traduce en más de 2,5 millones de registros comprometidos. Los datos exfiltrados incluirían información personal identificable (PII), números de la Seguridad Social, historiales médicos y datos de pólizas.

El mayor riesgo reside en la posible utilización de estos datos en esquemas de fraude, suplantación de identidad y extorsión. Para las empresas afectadas, se estima que el coste medio de respuesta y mitigación supera los 4 millones de dólares, sin contar las posibles sanciones regulatorias bajo GDPR y la legislación estadounidense.

Medidas de Mitigación y Recomendaciones

Aflac ha iniciado un proceso de revisión y endurecimiento de sus controles de acceso, así como la rotación de credenciales y monitorización de logs. Entre las recomendaciones para las aseguradoras y empresas del sector destacan:

– Aplicar inmediatamente los últimos parches de seguridad en sistemas expuestos a Internet.
– Revisar las políticas de IAM, implementando autenticación multifactor (MFA) y segmentación de privilegios.
– Desplegar soluciones EDR con capacidades de detección de TTPs asociadas a Cobalt Strike y Metasploit.
– Realizar simulacros de phishing y concienciación al personal.
– Monitorizar en tiempo real la exfiltración de datos y anomalías en el tráfico de red.

Opinión de Expertos

Varios analistas SOC y consultores de ciberseguridad coinciden en que este ataque representa una evolución en las campañas contra infraestructuras críticas del sector asegurador. “La sofisticación de las técnicas y la selección de objetivos demuestran una planificación de largo recorrido, probablemente con motivación financiera y posible patrocinio estatal”, señala Javier Romero, CISO de una importante consultora española.

Por su parte, Marta Pérez, especialista en cumplimiento GDPR, recalca: “La exfiltración de datos de salud eleva el incidente a la categoría de brecha de alto riesgo, obligando a notificaciones inmediatas a la AEPD y a los afectados”.

Implicaciones para Empresas y Usuarios

El incidente subraya la necesidad de un enfoque proactivo frente a amenazas avanzadas en el sector asegurador, no solo en términos técnicos sino también de cumplimiento regulatorio. El refuerzo de los procesos de gestión de incidentes, la rápida identificación de IoCs y la colaboración sectorial se convierten en elementos clave para reducir el impacto de futuras campañas.

Para los usuarios, el riesgo de fraude y suplantación se incrementa, por lo que se recomienda la vigilancia activa de cuentas bancarias, el uso de servicios de monitorización de identidad y la cautela ante comunicaciones sospechosas.

Conclusiones

La brecha sufrida por Aflac evidencia la creciente presión que soportan las aseguradoras ante ataques dirigidos y coordinados. La sofisticación de las herramientas empleadas y la posible explotación de vulnerabilidades conocidas requieren una respuesta integral que combine tecnología, formación y cumplimiento normativo. Las empresas del sector deben revisar urgentemente sus estrategias de defensa y cooperación ante un entorno de amenazas en constante evolución.

(Fuente: www.bleepingcomputer.com)