Santalucía ha comunicat als seus clients un accés no autoritzat a informació associada a les seves pòlisses amb origen l'1 de maig. La companyia sosté que l'incident ja està contingut i que no ha detectat activitat irregular recent, però entre les dades compromeses figuren nom i cognoms, adreça postal, telèfon, correu electrònic i número de DNI.
La bretxa situa els assegurats davant una paradoxa immediata. L'entitat afirma que ha contingut l'incident, encara que al mateix temps adverteix del risc de campanyes d'enginyeria social o phishing precisament per l'exposició d'aquestes dades de contacte i identificació.
Santalucía va avisar que van quedar exposats el DNI i les dades de contacte
En el missatge remès per correu electrònic als seus clients, l'asseguradora va detallar l'abast de la consulta no autoritzada. La comunicació concreta que l'accés va afectar informació vinculada a les pòlisses i enumera les principals dades personals compromeses.
"L'incident ha consistit en la consulta no autoritzada d'informació associada a les seves pòlisses, com nom, cognoms, domicili, telèfon, correu electrònic i número de DNI" - Santalucía, comunicació remesa a clients
A més d'informar de l'incident, l'empresa va traslladar que no ha observat activitat irregular recent després de contenir l'accés. També va recordar als usuaris que extremin la precaució davant possibles intents de suplantació a través de trucades, missatges o correus electrònics.
En aquest avís, l'entitat subratlla que mai demana contrasenyes ni codis de seguretat per telèfon, missatge o correu electrònic. La recomanació arriba després que l'exposició afectés dades suficients per construir comunicacions fraudulentes dirigides a clients concrets.
La companyia va notificar la bretxa a Assegurances, Protecció de Dades i les Forces de Seguretat
Santalucía ha traslladat l'incident a la Direcció General d'Assegurances i Fons de Pensions, a l'Agència Espanyola de Protecció de Dades i a les Forces i Cossos de Seguretat de l'Estat. De forma paral·lela, l'asseguradora assegura que ha reforçat les mesures d'autenticació i control d'accés als seus sistemes.
La revisió interna també ha inclòs els mecanismes de supervisió ja existents. En el sector assegurador, aquest tipus d'episodis es produeix en un context de vigilància creixent sobre l'ús de dades personals i sobre la protecció de les dades personals quan es manegen bases de clients àmplies.
No és l'únic precedent recent. Un altre cas en el mateix àmbit va afectar Ocaso Seguros, on van quedar exposades 800.000 línies de dades de clients, un antecedent que amplia el focus sobre els intents de phishing vinculats a filtracions d'informació personal.
L'origen de l'accés no autoritzat que Santalucía ha comunicat als seus clients se situa l'1 de maig.