L’incident ha compromès informació de titulars actuals i anteriors de pòlisses de decessos, incloent-hi noms, NIF i IBAN. La companyia ha activat protocols de seguretat per mitigar-ne l’impacte.

Un ciberatac ha compromès la seguretat informàtica de SegurCaixa Adeslas, cosa que ha permès l’accés no autoritzat a dades personals i bancàries de clients actuals i antics amb pòlisses de decessos. Les dades afectades inclouen noms, cognoms, números de NIF i IBAN de comptes corrents utilitzats per a la domiciliació de primes.

L’incident es va originar en una eina tecnològica de l’asseguradora. Després de la seva detecció, SegurCaixa Adeslas va activar els plans interns de resposta a incidents de seguretat, i va aconseguir tancar la bretxa i bloquejar l’accés no autoritzat. Tot i l’atac, l’operativa i els serveis de la companyia es van mantenir en funcionament, segons han informat des de la companyia.

L’asseguradora destaca en un comunicat enviat als seus clients que no s’ha accedit a dades de salut dels afectats i que, fins ara, no hi ha constància d’un ús fraudulent de la informació compromesa. Tot i això, ha recomanat als afectats que extremin precaucions i desconfiïn de les comunicacions no sol·licitades de desconeguts. A més, recorda que mai no sol·licita contrasenyes ni codis de seguretat per mitjans electrònics o telefònics.

L’incident ha estat notificat a l’Agència Espanyola de Protecció de Dades, a les forces i cossos de seguretat de l’Estat i a la Direcció General d’Assegurances i Fons de Pensions, explica en aquest avís.

Un altre ciberatac greu el 2020

També el setembre del 2020, aquesta mateixa asseguradora va patir un ciberatac significatiu de tipus programari de segrest que va afectar greument els seus sistemes informàtics i serveis digitals. Detectat el 9 de setembre d’aquell any, l’atac va bloquejar els sistemes interns i va impedir la gestió normal d’autoritzacions de proves mèdiques i l’accés de clients a les pòlisses.

Aquest nou ciberatac és un recordatori dels desafiaments de seguretat que enfronten les asseguradores en el context actual. De fet, el juny de l’any passat un grup conegut com a MazingerZ va afirmar haver accedit i exfiltrat dades de clients d’Ocaso Seguros, entre els quals es van incloure noms complets, adreces, dates de naixement, comptes bancaris i registres relacionats amb testaments, després d’un accés no autoritzat a un arxiu amb centenars de milers de registres. 

Aquests incidents posen en relleu que les asseguradores de decessos i salut gestionen grans quantitats d’informació personal delicada, cosa que les converteix en objectius rellevants per a amenaces cibernètiques que busquen dades valuoses o que es puguin emprar en fraus, robatoris d’identitat o altres delictes financers. En un entorn on els serveis inclouen cada cop més components digitals —com ara gestió de testaments en línia, tràmits administratius i àrees privades de clients— el risc de bretxes i exposicions de dades creix juntament amb la digitalització del sector assegurador.