La Agencia Española de Protección de Datos (AEPD) ha archivado la investigación por el ciberataque sufrido por MAPFRE durante el mes de agosto del año pasado, destacando la diligente actuación de la compañía así como la transparencia a la hora de hacer público este ataque.
En concreto, la AEPD subraya que el impacto en cuanto al volumen de datos que han sido vulnerados “ha sido casi nulo” ya que “los intentos de exfiltración (extracción de datos) fueron detectados y evitados, lo que unido a la rapidez para hacer público el ciberataque permitió la eficaz actuación de clientes, trabajadores, colaboradores y proveedores, minimizando los efectos”. Asimismo, destaca que no constan reclamaciones por parte de terceros ante la Agencia Española de Protección de Datos.
La investigación del incidente constata que MAPFRE “disponía de medidas técnicas y organizativas razonables para evitar este tipo de incidente, lo que ha permitido la rápida identificación, análisis y clasificación de la brecha de seguridad…”
Además, la Agencia califica la reacción de MAPFRE ante el incidente como “diligente”, y subraya la rapidez en la notificación realizada tanto al Instituto Nacional de Ciberseguridad (INCIBE) como al Centro Criptológico Nacional (CCN-CERT) y a la Guardia Civil, así como a la propia Agencia sobre cómo estaba evolucionando esta situación. “La rápida comunicación -realizada por MAPFRE- con clientes, colaboradores, proveedores y empleados posibilitó una eficaz reacción contra el ataque”, concluye la directora de la Agencia en su resolución, en la que también se destaca la labor de transparencia, ya que el ataque se comunicó asimismo a los equipos de seguridad de los principales socios de negocio.
La investigación de la Agencia de Protección de Datos relata la sucesión de acontecimientos que se vivieron desde que se detectó el ciberataque y cómo MAPFRE fue actuando con diligencia y rapidez activando todos los protocolos, comités de crisis y planes de continuidad de negocio para contener y evitar la propagación del ataque, al tiempo que se reforzaron las medidas de seguridad, no sólo en España sino también en el resto de países.
En poco tiempo, se consiguió restablecer el servicio a los clientes, pero aun así hasta pasados unos días, la calidad en la prestación de todos sus servicios no fue la habitual. Por este motivo, MAPFRE decidió compensar a todos los clientes que se hubiesen visto afectados por este incidente.
MAPFRE sigue trabajando reforzando sus medidas de seguridad e incrementando el nivel de control con el objetivo de proteger tanto el negocio como los datos de sus clientes.
Consulta aquí la resolución de la AEPD