Allianz Life anuncia que la mayoría de los datos personales de sus clientes fueron robados en un ciberataque

 (techcrunch.com)
2 puntos por GN⁺ 2025-07-28 | 1 comentarios | Compartir por WhatsApp
  • La aseguradora estadounidense Allianz Life sufrió un ciberataque en el que fueron robados datos personales de clientes, profesionales financieros y algunos empleados
  • Los atacantes robaron la mayor parte de la información de un sistema CRM basado en la nube mediante técnicas de ingeniería social
  • Allianz Life realizó las notificaciones legales correspondientes e informó al FBI, pero no reveló qué grupo estaría detrás del ataque ni cuántas personas fueron afectadas
  • En fechas recientes, se han registrado incidentes similares de filtración de datos en todo el sector asegurador, y están aumentando los casos atribuidos presuntamente al grupo de hackers Scattered Spider
  • Se prevé que las notificaciones individuales a las víctimas comiencen alrededor del 1 de agosto

Resumen del ciberataque a Allianz Life

  • Allianz Life, una de las grandes aseguradoras de Estados Unidos, confirmó oficialmente a TechCrunch que en una filtración de datos ocurrida a mediados de julio de 2025 fueron robados numerosos datos personales, incluidos los de clientes
  • Un vocero de Allianz Life reconoció oficialmente el incidente y precisó que el ataque ocurrió el 16 de julio de 2025
  • Los atacantes accedieron a un sistema CRM (gestión de relaciones con clientes) en la nube de un tercero y, mediante técnicas de ingeniería social, robaron información personal identificable de la mayoría de los clientes, profesionales financieros y algunos empleados

Estado de la filtración y respuesta

  • La filtración fue revelada mediante una notificación legal presentada en el estado de Maine, y no se informó de inmediato cuántos clientes resultaron afectados
  • Allianz Life tiene aproximadamente 1.4 millones de clientes en Estados Unidos, mientras que su matriz, Allianz, cuenta con más de 125 millones de clientes en todo el mundo
  • Allianz Life notificó del incidente al FBI, pero no informó si hubo exigencias económicas por parte de los atacantes ni si existió comunicación directa con ellos
  • La empresa subrayó que los hackers accedieron únicamente a través del sistema CRM y que no hay evidencia de compromiso en otros sistemas de la red

Incidentes similares en la industria y contexto

  • Durante el último mes, se han producido de forma consecutiva ciberataques a gran escala contra aseguradoras como Aflac
  • Investigadores de seguridad de Google señalaron en junio que estaban observando múltiples intrusiones en el sector asegurador, y las atribuyeron al grupo de hackers Scattered Spider, conocido por usar ingeniería social
    • Técnicas de ingeniería social: métodos como llamadas de suplantación para engañar al personal de help desk y obtener acceso a la red
  • Scattered Spider ya había atacado antes a diversos sectores, incluidos el comercio minorista del Reino Unido, la aviación y el transporte, así como grandes empresas tecnológicas de Silicon Valley

Próximas acciones y aviso

  • Allianz Life planea comenzar a notificar individualmente a los clientes afectados y otras partes interesadas a partir de alrededor del 1 de agosto
  • Para reportes adicionales y consultas relacionadas con seguridad, se recomienda usar un canal cifrado separado

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-07-28
Opiniones de Hacker News

  • Termino diciendo esto muy seguido; sé que es una opinión impopular, pero no entiendo bien por qué.
    Los investigadores de seguridad, hackers de sombrero blanco y de sombrero gris deberían tener una protección legal fuerte si solo reportan las vulnerabilidades que encuentran.
    Los hackers maliciosos siguen buscando fallas de seguridad y no existe ningún sistema que los detenga.
    En cambio, si un hacker bienintencionado hace lo mismo, lo pueden procesar por un delito grave.
    La experiencia ya demostró que hemos fracasado en construir sistemas seguros.
    Da vergüenza admitirlo, pero la mayoría de nuestras grandes empresas y organizaciones casi no tienen la capacidad de construir sistemas seguros.
    Una de las razones por las que se intenta ignorar este hecho es que ni siquiera se permite la investigación interna de seguridad tipo red team.
    Al final, toda la situación termina favoreciendo a las empresas y a las organizaciones con poder.
    Las empresas dicen: "nuestro sistema es nuestra responsabilidad y no se puede probar sin permiso. Pero si se filtran los datos, no tenemos responsabilidad".
    Es irónico que las organizaciones elijan según les conviene cuándo sí tienen responsabilidad y cuándo no.
    Hay que dejar claro si las empresas son responsables de la seguridad de sus sistemas o si esto es una tarea compartida de toda la sociedad.
    Cuando se filtran con frecuencia los datos de la mitad de la población de un país, esto se siente como un problema que nos involucra a todos.
    Y de hecho es un tema de seguridad nacional.
    Por ejemplo, ¿un organismo independiente revisa si la red eléctrica nacional es segura, o puedo intentar comprobarlo yo legalmente?
    No, no se puede. El simple intento ya sería un delito grave.
    Así, estas organizaciones tan poderosas pueden no hacer nada aunque sus sistemas tengan fallas de seguridad, y desde fuera nadie tiene derecho a investigar esas fallas.
    Al final estamos sacrificando la seguridad nacional por la comodidad corporativa y para evitar que las empresas pasen vergüenza.

    • Esto me hace pensar si de verdad alguna vez hackearon las bases de datos de clientes de Google, facebook o Microsoft.
      Hoy en día casi no hay responsabilidad para las empresas que hacen software tan descuidado.
      Cada filtración debería causar un daño proporcional al tamaño de la empresa afectada.
      Por ejemplo, el caso de Equifax debió haber estado cerca de derrumbar a la empresa por completo.
      Las multas tendrían que ser de miles de millones de dólares para generar conciencia y obligar a hacer auditorías internas serias.
      Ahora mismo, en la práctica no hay ninguna razón para preocuparse por la seguridad.

    • Si realmente existiera una estructura donde las empresas recibieran castigos severos —por ejemplo, un sistema en el que el regulador calcule los daños e imponga sanciones de largo plazo— el precio de la acción caería y la empresa no tendría más remedio que tomarse la seguridad en serio.
      La realidad es la contraria: muchas veces las empresas reciben apenas una advertencia leve y ahí termina todo.

    • Es un argumento interesante.
      Pero si tanto los white hats como los gray hats recibieran protección legal, parece que los black hats podrían hackear cualquier sistema con total libertad de antemano y luego decir como excusa: "solo estaba buscando vulnerabilidades".
      Incluso podrían simplemente no reportar la vulnerabilidad, memorizar todos los métodos y usarlo más adelante en un ataque real.
      Hasta podrían pasarse toda la vida fingiendo ser white hats y en realidad vender esa información en secreto.
      El sistema actual más bien desincentiva ese tipo de conducta.

    • Para que no ocurriera este problema, la web tendría que preservar cierto grado de anonimato y no convertir en delito el hecho de descubrir una vulnerabilidad por accidente o de causar un problema al seguir un proceso normal.
      Además, si en vez de strings la base de datos almacenara tokens con criptografía asimétrica, y en caso de filtración el usuario pudiera recibir una compensación del servicio, tal vez sería más fácil resolverlo.
      Pero ninguna empresa quiere garantizar de verdad la protección del usuario de esa forma.
      Al final, la mayor parte de la actividad de seguridad es solo para aparentar.

    • Es importante recordar que no toda investigación de seguridad es igual.
      La investigación de sentido común con la que mucha gente estaría de acuerdo —como descubrir una vulnerabilidad por casualidad y reportarla— sin duda debería estar protegida.
      En cambio, un pentest realizado sin permiso explícito sí puede causar problemas reales al sistema.
      Si se permitiera indiscriminadamente a cualquiera, incluso podría interferir con sistemas bien construidos.
      Hay áreas, como los algoritmos criptográficos, donde se puede resolver técnicamente, pero la ciberseguridad sigue dependiendo de la ley y de la confianza.

  • Estas filtraciones interminables se podrían reducir si se cambiara la estructura de incentivos, pero creo que en la práctica eso es difícil.
    Debemos reconocer que no se pueden evitar por completo: la gente comete errores, y mientras más grande es la escala, más errores hay.
    Eso no significa que debamos dejar de intentarlo.
    Como alternativa, también habría que aplicar en paralelo algunas medidas para reducir el daño de las filtraciones de datos personales.
    No deberíamos asumir que información como fecha de nacimiento, nombre, dirección, teléfono, email o SSN es secreta, y tendríamos que bloquear las distintas vías por las que eso se puede usar para el llamado "robo de identidad".
    No me gusta ni siquiera el término identity theft: hace parecer que la víctima fue la que cometió el error.
    En realidad, el problema es que las empresas verifican la identidad de la otra parte de manera demasiado descuidada y aun así hacen la transacción.
    La carga de la responsabilidad debería recaer sobre la empresa.
    Por ejemplo, si un banco otorga un préstamo a mi nombre, la responsabilidad debería ser del banco, no mía.
    Si solo cambiáramos esa estructura, las empresas verificarían la identidad con mucho más rigor y los incentivos quedarían alineados.
    Claro, el problema de las filtraciones no se limita al robo de identidad, pero incluso solo esa parte me parece bastante solucionable.

    • Si estás de acuerdo en que tampoco me gusta el término identity theft, quiero recomendar este sketch en video.
      https://www.youtube.com/watch?v=CS9ptA3Ya9E

    • Sobre la idea de que "si corriges los incentivos, las filtraciones disminuyen", me pregunto si el costo real de responder a una filtración es de verdad mayor que el costo de prevenirla de raíz.
      Salvo en los casos vinculados con la seguridad nacional, no está tan claro que el daño sea mayor que el costo de implementar medidas preventivas.

    • El término "robo de identidad" no necesariamente me suena a que la víctima tuvo la culpa.
      Si a alguien le roban algo, normalmente no decimos que fue culpa de esa persona.
      Si el dinero me lo roban de la bóveda de un banco, tampoco sería mi responsabilidad.
      Pero en ciberseguridad el atacante puede estar en la otra punta del mundo, así que proteger a la víctima es más difícil.
      Al final, la víctima sigue siendo víctima.

    • La solución ya existe: MFA (autenticación multifactor) y federación de IdP (proveedores de identidad).
      Una parte es algo que sabes (datos), y la otra es algo que tienes o algo biométrico (como la huella digital).
      El IdP realiza ambas autenticaciones y la responsabilidad de autenticar también queda distribuida.
      Es como una licencia de conducir: yo la tengo en mi poder y además se puede verificar en un sistema gubernamental.
      El problema es que muchos lugares usan reconocimiento facial como segundo factor, lo que implica un gran riesgo para la privacidad.
      A largo plazo, el gobierno podría terminar convirtiéndose en el único IdP.
      Los métodos no biométricos tienen dificultades reales para escalar, pero huellas digitales y similares ya las gestionan muchos países, así que me parecen mejores que el reconocimiento facial.

  • Esta situación jamás, jamás va a desaparecer hasta que los ejecutivos quiebren o incluso terminen en la cárcel por negligencia.
    Incluso si eso pasa, solo bajarán la frecuencia y la gravedad.

    • A menos que haya negligencia deliberada o conducta maliciosa, no creo que mandar a alguien a la cárcel sea la respuesta.
      La mayoría de los incidentes de seguridad nacen de errores.
      Golpear financieramente a la empresa puede tener un efecto disuasivo, pero si la compañía quiebra, cientos o miles de personas podrían quedarse sin trabajo de un día para otro.
      Basta con una mala configuración del firewall o con que un empleado caiga en una campaña de ingeniería social para que el daño a la empresa sea enorme.
      Más bien habría que aceptar que los sistemas conectados a internet —cloud, SaaS y demás— no son seguros por naturaleza y limitar drásticamente su uso.
      O cambiar la estructura social para que, aunque se filtren datos como nombre, SSN, fecha de nacimiento, dirección o apellido de soltera de la madre, esa información no sirva para nada.

    • Mi propuesta es eliminar la responsabilidad limitada.
      Que los accionistas respondan por el total de los daños a las víctimas con todo su patrimonio.
      Si quieren recibir ganancias, entonces también deberían asumir por completo su riesgo.

    • Recuerdo que cuando se introdujo el GDPR se promocionó la idea de que por fin los directivos serían personalmente responsables de los incidentes de hackeo, y mucha gente se entusiasmó.
      Yo ya pensaba entonces que eso era puro cuento, y así resultó ser.
      Para que haya responsabilidad legal, hay que probar negligencia grave, y en tribunales siempre hay muchas vías de escape.
      Nunca va a llegar una época en la que un ejecutivo responda por todo lo que ocurrió durante su mandato.

  • En mi opinión, debería existir una multa automática de £1,000 por cada registro de cliente filtrado.
    Si una empresa tiene millones de clientes, eso podría acabar con la compañía.
    En la realidad ni siquiera se preocupan, y si algún día ocurre una filtración, basta con enviar un email de disculpa tibio y listo.
    En Reino Unido, la ICO (Oficina del Comisionado de Información) es una institución tan inútil y peligrosamente inútil como Ofwat (regulador del agua).
    (Corregí un typo).

    • La multa debería pagarse directamente a los clientes.
      Ahora el sistema es que, tras una demanda colectiva, al cabo de un año apenas regresan unos centavos, y eso no ayuda en nada a los clientes.

    • Dicen que la empresa quedaría "sin posibilidad de recuperarse", pero entonces ¿qué pasa con sus clientes?
      ¿No terminaría eso perjudicando otra vez a las mismas víctimas?

    • Me preocupa que, si las multas son demasiado grandes, podría verse afectada toda la economía del país.

  • Allianz realmente ofrece seguros contra este tipo de ciberataques.
    https://www.allianz.de/aktuell/storys/cyberschutz-knoten-im-system/

    • El propio seguro es parte del problema.
      Porque para las empresas sale más barato simplemente contratar el seguro que desarrollar software seguro e invertir en investigación y protección.
      Mientras esa estructura se mantenga, no va a cambiar nada.

    • Al menos queda claro que la protección de endpoints exigida por contrato sí estaba funcionando correctamente.

  • También influye que muchos desarrolladores de Salesforce no conocen bien el producto, y que a Salesforce en sí no le importa demasiado la seguridad.
    En entornos mal configurados, puedes ver todos los datos accesibles con solo dos solicitudes web y sin autenticación.
    Tampoco hay sistemas de monitoreo decentes, así que tuve que diseñar desde afuera todo un esquema de monitoreo de seguridad basándome en los logs deficientes de Salesforce.
    Dejo una guía que puede servir de referencia.
    https://www.varonis.com/blog/misconfigured-salesforce-experi
    Esto se puede automatizar y, al terminar el reconocimiento, incluso encontrar sitios de Salesforce.
    Lo sé porque yo mismo lo he hecho.

  • El artículo dice: "El 16 de julio de 2025, un hacker malicioso accedió al sistema CRM basado en la nube de un tercero que usa Allianz Life".
    Me pregunto qué será exactamente ese "CRM de terceros en la nube".

    • También vale la pena revisar lo que Google escribió recientemente sobre Salesforce.
      https://cloud.google.com/blog/topics/threat-intelligence/voice-phishing-data-extortion

    • En otro artículo mencionaban Salesforce, y muchas veces es el dueño de los datos quien deja la seguridad mal configurada.
      Hay montones de tenants de Salesforce mal configurados expuestos en internet.

    • No sé si importe demasiado cuál sistema fue.
      La causa no fue un hackeo técnico, sino un ataque de ingeniería social, es decir, engañar a una persona.

    • Me pregunto si, dependiendo del CRM que usen, esto podría incluso constituir una violación de HIPAA.

  • Incluso cuando la gestión de la seguridad de datos es deficiente, casi no existen castigos reales para las grandes empresas.
    El gobierno ha hecho que cambiar el SSN sea casi imposible y aun así se sigue usando el SSN para verificar identidad.
    Por eso la mayoría de la gente ya está expuesta.

  • Como menciona el artículo, además de los ataques de ingeniería social a través de call centers y similares, la información corporativa está demasiado esparcida por internet.
    Por ejemplo, LinkedIn es una mina de oro para la ingeniería social.
    Como los perfiles están visibles para cualquier usuario con sesión iniciada, aunque no haya conexión, me parece raro que más empresas no revisen de forma activa los perfiles de sus empleados.

  • Es una gran molestia para los clientes y un golpe para la empresa, pero llega un punto en que uno se pregunta si esto no debería verse como una falla sistémica social, algo parecido a una "tragedia de los comunes".
    En lo legal, si un banco usa para autenticación solo información pública y fácil de abusar —como el SSN o el apellido de soltera de la madre— entonces, cuando ocurra un incidente real, parecería correcto que la responsabilidad recaiga sobre el banco.