En un nuevo episodio de inseguridad asegurada, Allianz Life ha reconocido que los datos personales de la mayoría de sus clientes y empleados han sido robados por un grupo de hackers. Lo más preocupante: el acceso se produjo a través de un proveedor externo, un CRM en la nube. No hay información confirmada sobre un rescate... pero hueles el chantaje en el aire, ¿verdad?
La filtración se produce en plena ola de ataques similares a aseguradoras como Aflac, lo que apunta a que el sector ha pasado de cubrir riesgos a protagonizarlos. Spoiler: las aseguradoras no estaban preparadas para convertirse en objetivo prioritario de ciberataques.
Una brecha más con nombre y apellidos
El acceso ilícito se logró mediante ingeniería social, una técnica tan antigua como efectiva: llamar, fingir ser un trabajador o cliente, convencer al soporte y ¡voilà!, acceso concedido. El guion recuerda peligrosamente al de Scattered Spider, un grupo que ha convertido la suplantación telefónica y el bombardeo de MFA en un arte.
Aunque Allianz no ha revelado el nombre del CRM afectado, el patrón es conocido: proveedor externo, credenciales robadas o comprometidas, ausencia de protección eficaz, y datos personales vendidos en algún foro oscuro.
¿Por qué les sale tan fácil?
Este tipo de ataques no requieren vulnerabilidades técnicas sofisticadas, sino fallos humanos y sistemas mal configurados. En un contexto donde muchas aseguradoras todavía se apoyan en plataformas heredadas y arquitecturas poco segmentadas, cualquier actor externo se convierte en la puerta trasera perfecta.
Y si a eso le sumamos un equipo de soporte sin protocolos estrictos ni alertas inteligentes, el resultado es este: millones de datos expuestos con una simple llamada telefónica.
Ya advertimos en este artículo sobre ciberseguridad empresarial que lo más jugoso para los hackers no está en los bancos, sino en aseguradoras, hospitales y proveedores de servicios públicos.
Esto no va solo de seguros
La implicación real es que el modelo cloud de terceros, si no se gestiona bien, delega riesgos pero no responsabilidades. Las empresas usan CRM, SaaS y automatización, pero sin reforzar sus controles ni educar a su personal.
Y cuando la información filtrada incluye no solo datos financieros, sino nombres, DNIs, direcciones, números de póliza y relaciones familiares, la pesadilla escala de lo corporativo a lo personal. ¿Quién asegura ahora el daño emocional, reputacional o económico a los afectados?
Lo que nadie te cuenta sobre esto
Las aseguradoras como Allianz Life presumen de protegerte frente a lo imprevisible, pero ni siquiera han sabido proteger su propio perímetro digital. ¿Cómo confiar en quien te vende pólizas contra incendios cuando arde su propio servidor?
¿Qué opinas tú de todo esto? ¿Deberían las empresas comunicar públicamente qué proveedor externo ha sido el culpable?