Estimado usuario,

Por medio de la presente comunicación, deseamos informarle que hemos experimentado una brecha de seguridad a través de uno de nuestros proveedores. El proveedor externo es una empresa que ofrece una solución integral de gestión de las pólizas de seguros.
 
La mencionada brecha fue detectada por Active Seguros el pasado 13/09/2024, y consistió en un acceso a la aplicación utilizada para la gestión de pólizas y la posterior descarga ilegítima de las mismas, entre las cuáles se encuentra su póliza.
 
Tras las primeras investigaciones, hemos recibido información del proveedor indicando que este acceso podría haber sido resultado de la obtención ilegal de unas credenciales. Una vez autenticado y, aprovechando una vulnerabilidad del sistema, obtuvo de manera ilegitima información de ciertas pólizas entre las cuales se encuentra la suya. Los datos afectados incluyen nombres y apellidos, números de DNI, direcciones, números de teléfono, datos de salud (cuestionario médico) y números de cuenta bancaria (aunque cuatro caracteres se encuentran ofuscados).
 
En relación con las medidas adoptadas, queremos informarle que hemos notificado la situación al Instituto Nacional de Ciberseguridad (INCIBE) y a la Agencia Española de Protección de Datos para su investigación.
 
Asimismo, a continuación, se detallan las medidas correctivas para este incidente:

• Actualización de la política de contraseñas que garantice el uso de contraseñas robustas, así como su caducidad.
• Implementación de un sistema de doble factor de autenticación.
• Revisión de los permisos de los usuarios para verificar que todos tienen un control de acceso adecuado.
• Evaluación de la posibilidad de controlar aquellas situaciones en las que se genera un número muy alto de peticiones por segundo, para activar el umbral de alertas.
• Realizar auditorías de seguridad y test de penetración de caja gris.

Las consecuencias derivadas de esta brecha podrían manifestarse en la posibilidad de que la información afectada haya sido accesible para ciberdelincuentes. Para prevenir una posible suplantación de identidad, le proporcionamos las siguientes recomendaciones en materia de seguridad:

1. Cambie sus contraseñas de forma regular y utilice combinaciones seguras. Aconsejamos estar atento a cualquier actividad inusual en su cuenta o comunicaciones. Si recibe un correo electrónico que parece inusual o sospechoso, no haga clic en ningún enlace. El phishing es un método común utilizado por ciberdelincuentes para obtener información personal.
2. Verifique siempre la dirección del remitente y la autenticidad del mensaje antes de interactuar con él.
3. No comparta información confidencial por medios no seguros (teléfono, correo electrónico, mensajería instantánea tipo WhatsApp).
4. Asegúrese de que la información viaje cifrada (es necesario que la URL o la barra de dirección del navegador comience con “https”). Esto indica que tiene una conexión segura.
5. Tenga cautela al abrir enlaces y archivos adjuntos:
   • Revise cuidadosamente los mensajes que recibe y evite abrir enlaces desconocidos.
   • No descargue ni abra archivos de fuentes no confiables, ya que podrían contener virus o software malicioso.

En caso de que así lo desee, puede ampliar esta información contactando con ACTIVE mediante correo electrónico:  [email protected].

Dpto. de Comunicaciones de Active Seguros