Lleida, a 20 de octubre de 2021.

Estimados clientes,

Por medio de la presente, en cumplimiento de lo previsto por el artículo 34.2 y el 34.3 c) del Reglamento general de protección de datos (RGPD), les informamos que un proveedor de servicios de URQUIA & BAS sufrió hace unas fechas un ciberataque que comprometió datos de varios de sus clientes, entre ellos una base de datos de nuestra titularidad que contenía datos personales de algunos de nuestros clientes.

A continuación, se ofrece información más detallada sobre dicho ciberataque, si bien, se quiere dejar constancia en este momento de que aún existen investigaciones en curso sobre este ciberataque; por ello, esta información puede estar sujeta a cambios y aún puede revelarse información adicional:

1) Descripción general del incidente

El pasado 30 de agosto de 2021 URQUIA & BAS tuvo conocimiento gracias a una compañía de seguros con la que se trabaja regularmente de que una Base de Datos nuestra se hallaba colgada en internet y a la venta.

Tras las investigaciones técnicas correspondientes, se consiguió localizar el pasado 1 de septiembre de 2021 la URL donde se hallaba a la venta nuestra Base de Datos: https://raidforums.com/Thread-SELLING-Spain-%E2%9C%94-insurance-data-%E2%9C%94-2021-special. Igualmente, y en el mismo día, se consiguió localizar en Internet el perfil del presunto hacker: https://raidforums.com/User-master-data.

En las siguientes semanas (y hasta la fecha), se han llevado a cabo numerosas investigaciones e indagaciones internas para conocer cómo esa Base de Datos ha podido ser capturada por el presunto ciberdelincuente. De la investigación realizada y con la información de la que disponemos, entendemos que, materialmente, la brecha de seguridad la ha sufrido uno de nuestros proveedores de servicios: TECNOLOGIA SOFTWARE I INTEGRACIÓ DE SISTEMES S.L. (en adelante, TE-SIS Solucions), con CIF B-25588443 y sita en Calle Camí de Corbins, 6 – 5 2, Lleida, 25005. Dicho proveedor nos viene prestando servicios de licencia y mantenimiento de software. En la actualidad, dicha compañía pertenece a la mercantil Codeoscopic S.A. (https://codeoscopic.com/es/)

De las investigaciones realizadas se cree que la brecha de seguridad pudo haberse producido como consecuencia del acceso del ciberdelincuente a nuestra Base de Datos, la cual había sido utilizada y tratada por la propia TE-SIS Solucions al objeto de hacer un traspaso de un software a otro (desde ERP Dynamics a ERP Te-SIS).

Hasta el momento se desconoce de forma precisa cuándo y cómo se ha producido esa brecha de seguridad en sus servidores, si bien, sí conocemos que la Base de Datos se puso a la venta en internet, estableciéndose la criptomoneda Bitcoin como el medio de pago elegido; se desconoce, no obstante, si se ha vendido o no dicha Base a terceros. Asimismo, esta Base de Datos parece no encontrarse ya en la “dark web”.

2) Datos de clientes afectados

Los grupos de datos que se hallaban en dicha Base de Datos son: nombre, apellidos, NIF, geolocalización, tipo de seguro, compañía aseguradora titular de la póliza, agente, identificación de coche, nº de cuentas bancarias, entidades bancarias a la que pertenecen los nº de cuentas, recibos abonados o no.

Es cierto que no todos los datos de los clientes almacenados en esa Base de Datos eran reales, mezclándose en algunas ocasiones con datos falsos, dado que TE-SIS Solucions estaba utilizando dicha Base como prueba para realizar el traspaso desde el software antiguo donde se encontraba alojada (ERP Dynamics) al nuevo (ERP Te-SIS) que estaba siendo desarrollado por TE-SIS Solucions.

3) Posibles consecuencias de la brecha de seguridad

Atendiendo al grupo de datos que han sido objeto del ciberataque, entendemos que las consecuencias más plausibles de ocurrencia a los clientes afectados son: a) pérdida de control sobre sus datos personales; b) usurpación de la identidad; y c) víctima de campañas de phishing/spamming.

4) Medidas implantadas para controlar los posibles daños

• Investigaciones técnicas del incidente para conocer las circunstancias en que se produjo, su impacto real y sus potenciales efectos en los titulares de los datos, tanto por parte de URQUIA & BAS como por parte de TE-SIS Solucions.
• Denuncia presentada en la Comisaría de Mossos D´Esquadra de Lleida, con fecha 8 de septiembre de 2021.
• Notificación de brecha de seguridad a la AEPD, con fecha 8 de septiembre de 2021.

5) Información de utilidad a los clientes

• Respecto de aquellas compañías de seguros con las que se tenga suscrita alguna póliza de seguro, deben informar de esta circunstancia, al objeto de que puedan extremar las precauciones antes posibles usurpaciones de identidad.
• Informar de lo sucedido a su/s entidad/es bancaria/s para que extremen las precauciones ante posibles usurpaciones de identidad.
• Extremar las precauciones ante campañas de phishing/spamming al poder hallarse sus datos personales en manos de terceros tras este incidente de seguridad. Especial atención a comportamiento relacionados con la autorización de pagos y confirmación de claves bancarias.

6) Datos de contacto del Delegado de Protección de Datos

GONZALO FERNANDEZ MICHELTORENA ARAMENDIA

[email protected]

CAMINO REAL 25, GORRAIZ (31620), NAVARRA – ESPAÑA

Sin otro particular le saluda atentamente,

URQUIA & BAS, Correduría de Seguros S.L.