Prudential Financial, la segunda compañía de seguros más grande de Estados Unidos, informó sobre una violación de seguridad que expuso datos corporativos y de usuarios.
Prudential detectó el incidente cibernético el 5 de febrero de 2024, el día después de que el actor de la amenaza accediera a ciertos sistemas internos, dijo la compañía en una presentación regulatoria 8-K ante la Comisión de Bolsa y Valores de EE. UU. (SEC).
La compañía de seguros con sede en Newark, Nueva Jersey, contrató a expertos externos en ciberseguridad, activó un plan de respuesta a incidentes y notificó a las autoridades y a los reguladores.
Con más de 1,4 billones de dólares en activos, Prudential Financial es una empresa Fortune 500 que ofrece una variedad de servicios financieros, incluidos seguros, gestión de inversiones y planificación de la jubilación. La empresa tiene más de 50 millones de clientes y emplea a más de 40.000 personas en Estados Unidos, Europa, Asia y América Latina. En 2023, la empresa reportó ingresos de más de 50 mil millones de dólares.
Grupo cibercriminal detrás de la violación de seguridad de una compañía de seguros
Aunque ningún grupo de cibercrimen se ha atribuido públicamente la responsabilidad por la violación de seguridad de Prudential Financial, la compañía de seguros ha culpado del incidente a un grupo de piratas informáticos profesionales.
“A la fecha de este informe, los actores de amenazas sospechosos de ser grupos de delitos cibernéticos han accedido a los datos administrativos y de usuario de la Compañía desde ciertos sistemas de tecnología de la información, así como a las cuentas de usuario de la Compañía asociadas con sus empleados y contratistas. accedido”, dijo la compañía de seguros.
Se está llevando a cabo una investigación para determinar el alcance de la violación de seguridad y enumerar todos los sistemas internos que se vieron comprometidos. Hasta ahora, Prudential no ha encontrado evidencia de que los actores de amenazas hayan accedido a los datos de los clientes.
“Continuamos investigando el alcance del incidente para determinar el impacto del incidente, incluso si el actor de la amenaza obtuvo acceso a información o sistemas adicionales”.
En este momento, la compañía de seguros cree que la violación de datos no tendrá un impacto material en sus operaciones, situación financiera o resultados de operaciones.
Impacto de las reglas de la SEC sobre la divulgación de incidentes de ciberseguridad
La declaración de impacto material sigue una nueva norma de la SEC que entró en vigor en diciembre de 2023, que exige que todas las empresas que cotizan en bolsa informen incidentes importantes de ciberseguridad en un plazo de cuatro días. Estos incidentes pueden afectar las decisiones de los inversores de comprar, vender y mantener valores y tener importantes consecuencias económicas.
Los ciberdelincuentes ya atacan a las empresas durante eventos financieros importantes, como fusiones y adquisiciones.
Claude Mundy, evangelista jefe de seguridad de datos en Symmetry Systems, dijo que explotarán el nuevo sistema de informes e intimidarán a las víctimas amenazándolas con hacer públicos sus incidentes cibernéticos.
“Las organizaciones necesitan identificar rápidamente el impacto potencial de una violación de datos, determinar su importancia y comenzar el proceso de divulgación”, afirmó Mundy. “Al mismo tiempo, los ciberdelincuentes pueden amenazar y amenazarán con hacer público el incidente para extorsionar a sus víctimas”.
Darren Guccione, director ejecutivo y cofundador de Keeper Security, dijo que el nuevo régimen de informes obligará a las organizaciones a revelar más incidentes de seguridad.
“No hay duda de que los nuevos requisitos de presentación de informes de la SEC, una vez finalizados, darán como resultado una cantidad significativa de informes de incidentes cibernéticos a las comisiones federales”, dijo Guccione.
Pero advirtió que las empresas podrían abusar de las reglas de la SEC al informar voluntariamente violaciones de datos por debajo del umbral de notificación para evitar admitir públicamente la violación.
“Al presentar un informe ante la SEC indicando que ocurrió un incidente pero que no tuvo un impacto material en las operaciones, Prudential asumió que menos personas leerían el informe de la SEC que sus declaraciones públicas. “Pueden estar tratando activamente de mitigar el daño a la reputación. “Es más probable que este tipo de divulgación voluntaria esté motivada por las relaciones públicas que por la regulación”, añadió Guccione.
La compañía de seguros no identificó ni reveló los vectores de ataque explotados durante el ataque. El phishing suele ser la ruta más común hacia los sistemas internos de una organización.
“El actor de amenazas obtuvo acceso a la red de la empresa a través del llamado ‘sistema de tecnología de la información'”, dijo Craig Haber, evangelista de seguridad de Open Systems. “La empresa no ha revelado si este sistema está bajo el control de Prudential o si está gestionado por un tercero”.
La compañía de seguros no ha dicho si recibió una demanda de rescate y ninguna de las partes ha amenazado con divulgar los datos robados.
Los ciberdelincuentes normalmente no revelan violaciones de seguridad mientras se llevan a cabo negociaciones de rescate para evitar dañar a la empresa o interrumpir las negociaciones. De manera similar, los grupos de hackers con motivaciones políticas pueden evitar atribuirse el mérito de los ciberataques u ocultar sus verdaderas intenciones pretendiendo ser hackers con motivaciones financieras.
El sector financiero ha sido tradicionalmente uno de los principales objetivos de los ciberataques, y en 2022 caerá al segundo lugar después de la atención sanitaria. La violación de seguridad de Prudential sigue a otro incidente cibernético que afectó a Bank of America a través de Infosys McAmish Systems (IMS), uno de los proveedores de servicios de Bank of America.
La propia Prudential ha sufrido violaciones de datos en el pasado, siendo víctima del hackeo MOVEit de terceros por parte del grupo de ransomware Clop, que puso en riesgo a 320.000 clientes. Esta violación de seguridad comprometió los nombres, direcciones, fechas de nacimiento, números de teléfono y números de seguro social de los clientes.
“La lección clave de esta filtración de datos es que el cibercrimen es un desafío complejo y en evolución que afecta a individuos, organizaciones y sociedades de todo el mundo”, concluyó Haber. “La vigilancia, las medidas de ciberseguridad, incluida la preparación para la respuesta a incidentes, y la cooperación internacional son esenciales para combatir esta amenaza digital”.
Fuente: https://www.cpomagazine.com/cyber-security/insurance-company-prudential-financial-discloses-a-security-breach-of-internal-systems/