El 2 de enero de 2025, se informó que ciberdelincuentes están vendiendo datos de al menos 2 millones de clientes de Asisa, una destacada aseguradora española. La información comprometida incluye nombres, apellidos, DNI, números de móvil, direcciones completas y datos bancarios como IBAN y SWIFT. Además, se han filtrado datos de familiares asociados a las pólizas. Asisa aún no ha emitido un comunicado oficial al respecto. Se recomienda a los clientes mantenerse alerta ante posibles intentos de estafa y contactar con la compañía para obtener más información y protección.
🗞️
Posible filtración de datos de clientes de las aseguradora Asisa
Pues yo este año tengo pensado contratar un seguro con esta compañía, rediez.
Cada vez hay mas hackeos a mas empresas.
Si los ciberdelincuentes pueden, ¿acaso los informáticos de las empresas no pueden hacer que los ciberdelincuentes no puedan?
¿No les cae un paquete a las empresas "que se dejan hackear"?
Si roban en un banco, supongo que, o bien el banco o bien el gobierno responde. Y por cierto. ¿es mi memoria, o no le ha ocurrido esto nunca a un banco?
✖
✖
Pues si, mi memoria me traiciona, ahora recuerdo algo de aquello.
Subcontratar tiene riesgos.
⋮
Considérate afortunado. Ahora no creo que vuelvan en un tiempo a intentar nada con ellos. Además quizá espabile y se pongan serios con la seguridad.
Tus datos estarán a salvo un ratito.
Atacar es relativamente más fácil que defender. Lee mi otro comentario.
es lo que tiene ingresar mas y no invertir nada en seguridad.
✖
No seré yo quien defienda a grandes empresas, pero a veces no es problema de inversión o negligencias, sino de que todos somos humanos y debemos de aceptar una realidad: es mucho más fácil (relativamente hablando) atacar que defender. Simplificando mucho, para atacar necesitas centrarte en un punto, afinar y penetrar por ahí, mientras que para defender, debes de tener en cuenta todas las superficies expuestas.
Un ejemplo es el funcionamiento de uno de los puntos de infiltración de Pegasus en los iPhone: en resumen, enviaban "GIFs" modificados con un código que más que código parecía una obra de arte ingenieril, aprovechándose de una vulnerabilidad del sistema que derivaba a una vulnerabilidad del renderizador de PDFs, que a su vez llevaba a otra vulnerabilidad… llevando a que a través de una cadena de pequeños agujeros, el código del "GIF" enviado, era capaz de replicar dentro del lector de PDFs del sistema una arquitectura de máquina en sí misma, con operando como suma, resta, búsqueda en memoria…; vamos, que el GIF entraba y creaba una máquina dentro de tu máquina, de cero.
¿Es culpa del equipo de seguridad de Apple no haber previsto que se podría crear una máquina de turing válida en un código de GIF y colarse a través de fallas que no conocían, incluyendo una en el renderizador PDF que era legacy y antiguo ("si funciona, no lo toques")? Habría evitado el problema Apple si hubiera invertido más miles de millones en seguridad?
No sé el caso de ASISA, a lo mejor se dejaron las claves en la puerta, pero en general, hay muchos casos de empresas con un equipo de IT de 10 personas, que cubren todo, pero repito, somos humanos, y cubrir todas las bases al 100%, todas las superficies, a veces superficies que ni siquiera son de tú conocimiento pleno (proveedores, software externo, vulnerabilidades de firmware en equipos…), frente a ataques sofisticados que se tratan de colar por huecos del tamaño de una aguja, pues… es difícil.
Por eso precisamente, la solución que se trata de buscar al final, es lo que yo llamo "la estrategia del castillo medieval", protegerse poniendo capas antes de llegar al centro, porque das por supuesto que alguien llegará en algún momento a tratar de atravesarlas. De ahí que se pongan VPNs obligtorias para acceder a sistemas, usuarios con logs y doble autenticación, granularidad en permisos por usuario, límites de acceso por usuario, etc.
Qué quiero decir con esto? No tengo ni idea del caso de ASISA en concreto, a lo mejor han sido negligentes, pero no creáis siempre que "si han hackeado a X, es que no han invertido lo suficiente en seguridad", sobre todo porque como todo en la vida, a veces invertir más puede no ser rentable (rendimientos decrecientes: 1 persona para cambiar una bombilla viene bien, 2 también bien (una sujeta la escalera, otra pone la bombilla), pero 20 personas es un absurdo), o incluso no tener sentido.
Si pensáis eso, entonces nadie en el mundo invierte lo suficiente, porque no conozco gran empresa que de una u otra manera no haya sufrido un hackeo más o menos potente (siempre depende del interés que haya detrás).
✖
Pues si…eso de que es mas difícil vigilar todas las puertas que atacar solo una tiene sentido, pero no se el porque me temo que no se vigilan ni la mitad de las puertas.
Pero con esto creo quede respondida mi cuestión.