Agujero de seguridad en Zurich Seguros: roban y difunden los datos de sus clientes en España

Problemas graves en la división española de Zurich Seguros. La compañía ha sufrido el robo de las bases de datos de parte de sus clientes en España, tal y como revelaron un grupo de ciberdelincuentes, que ha puesto a la venta dicha base de datos en un conocido foro de la 'dark web' dedicado a la compraventa de material procedente de ciberataques. La compañía ha confirmado a El Confidencial el acceso ilícito.

El grupo asegura contar con una base de datos con más de 4,7 millones de líneas de información. Para demostrar el robo, ha difundido parte del material robado. Se trata de un archivo en el que aparecen más de 26.000 personas y empresas y la siguiente información:

• Nombre y apellidos
• DNI
• Vehículo asegurado: modelo, matrícula y prestaciones
• Teléfono
• Dirección de su domicilio
• Correo electrónico
• Fecha de la póliza de seguros
• Agente de Zurich que lleva su póliza

Este diario ha accedido a la información filtrada por los ciberdelincuentes y ha comprobado, mediante la puesta en contacto con varias de las personas que aparecen en dichos ficheros, que se trata de clientes de Zurich Seguros en España. También ha podido identificar la identidad de varios de los agentes de la compañía que aparecen en el archivo y que, efectivamente, trabajan en la entidad.

"Hay información como para poder suplantar la identidad de un tercero, conocer los vehículos que tiene a su nombre una persona..."

¿Hasta qué punto es grave la difusión de este contenido? Para Vicente Delgado, detective, 'hacker' y experto en ciberseguridad, "hay suficiente información como para poder suplantar la identidad de un tercero, conocer los vehículos que tiene a su nombre una persona (un famoso, por ejemplo, o un político con sus matrículas), usar los datos personales para contratar líneas de telefonía, hacerse pasar por clientes de Zurich para obtener la cuenta corriente vinculada a los pagos... La filtración es muy importante", asegura.

Según ha revelado Zurich a El Confidencial, el 12 y 13 de agosto se produjeron obtenciones ilícitas de información de algunos de los clientes de la empresa en España. Los mecanismos de control y gestión de ciberseguidad de la aseguradora se activaron desde el primer momento para determinar la causa y el origen del incidente, tal y como asegura la propia compañía. Afirman que después de los primeros análisis, los indicios señalaban que se podía tratar de una afectación limitada a una línea de negocio lo que supondría un limitado porcentaje de clientes. Ahora mismo están a la espera de los resultados del informe de investigación.

La situación ha sido puesta en conocimiento de la Policía y de la Agencia Española de Protección de Datos. Además, Zurich ha puesto en marcha los mecanismos de comunicación con sus clientes y mediadores, a quienes informarán en las próximas horas, y puntualmente, a medida que dispongan de más información para garantizar su protección. Desde la empresa inciden en que sus equipos y servicio a la mediación, además de clientes, permanecen operativos con su total capacidad.

La base de datos, en venta: 0,025 'bitcoins'

Los ciberdelincuentes han puesto precio a dicha base de datos: 1.000 dólares en 'bitcoins'. El precio, eso sí, resulta sorprendentemente bajo. Por ponerlo en contexto y en comparación, a la empresa tecnológica Garmin le pidieron 10 millones de dólares (214 'bitcoins') el año pasado y a Acer 50 millones de dólares (1.074 'bitcoins') este 2021. En el caso de Zurich Seguros, la base de datos está a la venta por apenas 0,025 'bitcoins'.

De todos modos, los precios de Garmin y Acer no son comparables a los del robo a Zurich Seguros. En los dos primeros casos, la cantidad fue requerida a las empresas atacadas (que se supone que estarían dispuestas a pagar más), mientras que los 1.000 dólares de la base de datos de Zurich Seguros es el precio público de venta para cualquier otro ciberdelincuente (que se supone que ofrecerá menos dinero) que quiera comprarla. Poner una base de datos a la venta en el mercado negro es una táctica habitual cuando el ciberdelincuente ha intentado chantajear económicamente a su víctima pero no ha conseguido su objetivo. En este caso, como decimos, este diario aún no ha podido comprobar este punto con el equipo de Zurich Seguros.

El origen del ataque aún es desconocido. Para Vicente Delgado, "de momento no hay información disponible acerca de la intrusión, pero no parece estar relacionado con algún tipo de 'ransonware', sino con algún tipo de mala configuración de la web de Zurich para mediadores". Además, "las personas que están poniendo a disposición de terceros la base de datos parecen haberla recabado de un foro de terceros", asegura, algo que podría explicar el bajo precio.

El de Zurich Seguros se suma a varios ciberataques recientes a empresas y administraciones públicas españolas. En abril tuvo lugar una lucha de 72 horas en que las webs del Instituto Nacional de Estadística, así como las de al menos cuatro ministerios (Educación, Economía, Industria y Justicia) quedaron inutilizadas por un ciberataque de procedencia aparentemente extranjera. También el Ministerio de Trabajo ha sufrido ataques informáticos: uno en marzo y otro en junio de 2021.

La compañía Phone House también ha sufrido recientemente las consecuencias de un ciberataque: en abril, el grupo cibercriminal Babuk robó las bases de datos de tres millones de clientes, extorsionó a la compañía y, tras no recibir el pago de ningún rescate, difundió dichos datos en la 'dark web'.