El especialista en pagos a terceros Almerys confirmó el lunes que había sufrido un ciberataque que provocó la “exposición de datos personales” de los beneficiarios de un seguro médico complementario. El ataque tuvo como objetivo el sitio de prestación de atención (PEC), utilizado por profesionales y establecimientos de salud para determinadas solicitudes de óptica, audiología, odontología u hospitalización. Según la empresa, “este ataque, que afectó a todos los clientes, permitió el acceso no autorizado al sitio de entrega de soporte (PEC)”.
En el proceso, Almerys afirma haber “tomado medidas inmediatas para identificar y neutralizar los accesos en cuestión”. El sitio de PEC se cerró, lo que provocó interrupciones en algunas solicitudes de soporte. La empresa precisa, sin embargo, que sus demás servicios “siguen operativos” y que las actividades “de gestión, actualización de bases de datos, procesamiento de flujos y pago de prestaciones de salud están funcionando con normalidad”. También asegura que la situación “se limita al lugar de prestación de atención en cuestión”.
Números de seguridad social expuestos
Los datos “potencialmente expuestos” incluyen en particular los nombres, nombres, fechas de nacimiento, números de la seguridad social, nombres del asegurador de salud, números de contrato, así como las fechas de cobertura del asegurado. Por otro lado, Almerys indica que “la información bancaria, los datos de salud, los reembolsos sanitarios, los datos postales, los números de teléfono, las direcciones de correo electrónico y las contraseñas no se ven afectados por este acto malicioso”. El sábado, la aseguradora Alan ya había pedido a sus afiliados que estuvieran atentos a este ataque. Almerys está trabajando ahora en una “fase de transición” para ofrecer “soluciones alternativas” a los profesionales afectados.
Nuestro expediente sobre ciberataques
Este nuevo ataque se produce más de un año después de un anterior robo masivo de datos sufrido por la empresa a principios de 2024. Almerys indica que presentó una denuncia ante el fiscal y denunció el incidente tanto a la CNIL como a Anssi. La fiscalía de París confirmó por su parte que su sección especializada en la lucha contra la ciberdelincuencia había confiado la investigación a la brigada competente de la jefatura de policía.
