La seguridad y protección de la información de nuestras empresas asociadas, trabajadores protegidos y usuarios es una prioridad absoluta para Ibermutua. Por eso, queremos informar con total transparencia sobre el incidente de ciberseguridad que sufrimos el pasado 27 de agosto.
Desde la misma madrugada del día en que se produjo el ciberataque activamos de inmediato nuestros protocolos de seguridad para minimizar los posibles impactos, efectuando a continuación exhaustivos análisis forenses realizados por proveedores especializados y estando en permanente alerta para reforzar nuestras medidas de protección y ciberseguridad. En los dos meses que han pasado desde entonces, nuestro equipo tecnológico se ha mantenido en permanente vigilancia, monitorizando la situación de cerca para valorar continuamente la toma de las mejores decisiones y ajustarlas a la realidad de cada momento, pues los informes forenses mencionados no mostraban inicialmente evidencia alguna de que se hubiera producido realmente ninguna exfiltración de información de nuestros sistemas, dado que nuestras bases de datos mantienen intacta su integridad.
Medidas para resolver, reforzar y fortalecer nuestros sistemas
A pesar de la falta de evidencias indicada, articulamos un completo plan de acción y de continuidad de negocio que nos ha permitido garantizar una total normalidad en la prestación de nuestros servicios, algo que lamentablemente no siempre ocurre en este tipo de incidentes. Nuestro equipo de Tecnologías trabaja sin descanso junto con proveedores especializados de ciberseguridad en un completo plan de acción que incluye más de 65 medidas técnicas, legales, organizativas y comunicativas para mitigar cualquier posible impacto y evitar posibles futuras incidencias. Entre estas medidas destacan la implantación de controles diarios sistemáticos ante eventuales modificaciones imprevistas de números de cuenta (verificando que no haya manipulaciones ni usos indebidos), la incorporación progresiva del doble factor de autentificación en todos los sistemas o la activación de un sistema de monitoreo para detectar cualquier uso fraudulento de datos personales. Todas ellas se van a mantener de forma permanente y estable dentro de nuestras políticas de seguridad.
Exfiltración de información
Posteriormente, en la primera semana del mes de octubre fuimos conocedores de que la exfiltración de información sí fue finalmente realizada y entre ella se han hallado determinados datos de carácter personal de trabajadores/as en plantilla de Ibermutua así como de ciertos usuarios de nuestros servicios, pues estos datos son necesarios para el desarrollo de la gestión que tenemos encomendada en nuestra actividad de colaboración con la Seguridad Social. Nos referimos concretamente al nombre, apellidos, correo electrónico, DNI y, en ciertas circunstancias, el número de cuenta bancaria o la documentación relativa a la prestación de servicios asistenciales realizada en centros concertados por nuestra Entidad. Y así se hizo constar en la última notificación de los hechos comunicada a la Agencia Española de Protección de Datos el pasado 17 de octubre (complementaria a la inicial), así como a las Fuerzas y Cuerpos de Seguridad del Estado, con las que estamos colaborando estrechamente para investigar a fondo el suceso.
Total transparencia en la comunicación a los interesados
Según hemos ido conociendo acontecimientos, hemos comunicado los hechos con total transparencia directamente a nuestros trabajadores/as en plantilla, así como a nuestros proveedores actuales y a nuestros usuarios a través de este comunicado. Del mismo modo que nos comprometemos a mantener la continuidad informativa respecto de cualquier novedad relevante que pudiera producirse a este respecto, así como la comunicación directa a afectados en caso de que fuesen identificados datos concretos en las exfiltraciones conocidas.
Recomendaciones para la protección de los datos personales
Por último, queremos aprovechar para recordar algunas medidas básicas de seguridad en materia de protección de datos personales:
- Ibermutua nunca requiere información de claves de acceso, datos de tarjetas bancarias, etc. vía correo electrónico o SMS.
- Desconfiar de mensajes de correo electrónicos, llamadas, SMS o mensajes de WhatsApp de remitentes desconocidos que pidan información personal, datos bancarios o claves de acceso.
- No clicar en enlaces de mensajes cuyo origen no sea confiable.
- Revisar la actividad de las cuentas bancarias periódicamente para asegurar la inexistencia de movimientos sospechosos.
- Además, es importante prestar atención a cualquier actividad inusual que pudiera estar relacionada con sus datos personales.
Agradecemos profundamente, más que nunca, la comprensión y confianza depositada en Ibermutua. Para cualquier información o duda adicional, pueden contactarnos en el buzón consultaspd@ibermutua.es.
Actualizado a 31/10/2024
