AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**Filtración masiva de datos en el sector asegurador expone información sensible de millones de clientes**

admin

### 1. Introducción

El sector asegurador vuelve a estar en el punto de mira tras un importante incidente de seguridad que ha dejado al descubierto información altamente sensible de millones de clientes de seguros de vida. La plataforma de referencia en monitorización de credenciales comprometidas, Have I Been Pwned (HIBP), ha confirmado la inclusión de una nueva base de datos filtrada, que contiene direcciones físicas, fechas de nacimiento, números de teléfono y otros datos personales de asegurados. Este suceso subraya la creciente sofisticación y frecuencia de los ataques dirigidos contra compañías de seguros, así como la necesidad urgente de reforzar los controles de seguridad y la respuesta ante incidentes en el sector.

### 2. Contexto del Incidente

El incidente fue detectado y verificado por HIBP a principios de junio de 2024, tras la aparición de una base de datos en foros clandestinos de la dark web. La filtración afecta principalmente a clientes de seguros de vida de una reconocida entidad global, cuyo nombre no ha sido revelado por motivos legales y de investigación. Según los registros publicados, el volumen de datos expuestos supera los 3,5 millones de registros individuales.

Aunque la filtración fue inicialmente reportada como un acceso no autorizado a una base de datos externa, las primeras investigaciones apuntan a un compromiso directo de los sistemas internos de la aseguradora, posiblemente mediante técnicas de ingeniería social y explotación de vulnerabilidades en servicios expuestos a Internet.

### 3. Detalles Técnicos del Incidente

La base de datos comprometida contiene información de alto valor, incluyendo:

– Direcciones físicas completas
– Fechas de nacimiento
– Números de teléfono
– Correos electrónicos
– Números de póliza de seguro
– Detalles parciales de cuentas bancarias asociadas a pagos de primas

Según los indicadores de compromiso (IoC) analizados por los equipos de respuesta, el acceso inicial podría haberse conseguido mediante la explotación de una vulnerabilidad conocida en Microsoft Exchange Server (CVE-2023-23397), aprovechada por múltiples grupos de ransomware y APT en los últimos meses. El vector de ataque principal parece haber sido un spear phishing dirigido a administradores con privilegios elevados, seguido de la ejecución de malware personalizado.

La intrusión muestra patrones alineados con las TTPs (Tácticas, Técnicas y Procedimientos) recogidas en MITRE ATT&CK, especialmente:

– **Initial Access:** Spear Phishing Attachment (T1566.001)
– **Execution:** User Execution (T1204)
– **Persistence:** Valid Accounts (T1078)
– **Exfiltration:** Exfiltration Over Web Service (T1567.002)

Se han identificado scripts de exfiltración automatizada y el uso de herramientas como Cobalt Strike para el movimiento lateral y la elevación de privilegios. Además, algunos registros sugieren la utilización de Metasploit para pruebas de acceso y persistencia.

### 4. Impacto y Riesgos

La exposición de datos personales y financieros de asegurados implica un riesgo significativo de fraude de identidad, ingeniería social dirigida y extorsión. Según cifras preliminares, el 80% de los registros contienen información suficiente para realizar ataques de suplantación de identidad (phishing y vishing) de alta eficacia.

Desde el punto de vista normativo, la aseguradora se enfrenta a potenciales sanciones bajo la regulación GDPR, dado que la filtración involucra datos personales de ciudadanos de la UE. Las multas, en casos similares, han alcanzado hasta el 4% de la facturación anual global de la empresa afectada. Además, la directiva NIS2 eleva las exigencias de notificación y gestión de incidentes para operadores esenciales, entre los que se encuentra el sector asegurador.

### 5. Medidas de Mitigación y Recomendaciones

A la luz de la información disponible, los expertos recomiendan:

– Analizar exhaustivamente los registros de acceso y los sistemas afectados para identificar la ruta de entrada y posibles puertas traseras.
– Aplicar de inmediato los últimos parches de seguridad, especialmente para entornos Microsoft Exchange y servicios expuestos.
– Reforzar la autenticación multifactor (MFA) y revisar los permisos de cuentas privilegiadas.
– Monitorizar en tiempo real la presencia de credenciales y datos de clientes en foros y mercados de la dark web.
– Notificar a los clientes afectados y ofrecer servicios de protección contra el robo de identidad.
– Revisar y actualizar los procedimientos de respuesta ante incidentes y formación de empleados frente a amenazas de phishing.

### 6. Opinión de Expertos

Especialistas en ciberseguridad como Fernando Díaz, CISO de una aseguradora líder en España, destacan: “El volumen de datos expuesto y su naturaleza dejan patente la urgencia de adoptar modelos Zero Trust y segmentar los accesos a información sensible. No basta con controles tradicionales; la detección proactiva y la respuesta rápida son esenciales ante ataques cada vez más dirigidos y automatizados”.

Por su parte, Marta Grande, analista de amenazas en un SOC internacional, añade: “El uso combinado de exploits conocidos y herramientas como Cobalt Strike evidencia una profesionalización en los grupos atacantes, que ya no distinguen entre sectores críticos y tradicionales”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas del sector asegurador deben considerar este incidente como una llamada de atención para revisar a fondo sus políticas de seguridad, su estrategia de ciberresiliencia y sus programas de concienciación interna. Los usuarios, por su parte, deben estar alerta ante posibles intentos de fraude y extremar la precaución ante mensajes y llamadas sospechosas relacionadas con seguros de vida.

El incidente también pone de manifiesto la importancia de la transparencia y la comunicación rápida con los clientes afectados, práctica alineada con los requisitos de notificación de GDPR y NIS2.

### 8. Conclusiones

La filtración masiva de datos en el sector asegurador confirma la tendencia al alza de los ciberataques dirigidos contra organizaciones que gestionan información altamente sensible. La sofisticación de los métodos empleados, combinada con la explotación de vulnerabilidades conocidas y técnicas de ingeniería social avanzada, obliga a las empresas a elevar sus estándares de defensa y respuesta. La gestión adecuada de incidentes y la protección del dato deben ser prioridades estratégicas para mitigar el impacto económico, reputacional y legal derivado de estos incidentes.

(Fuente: www.darkreading.com)