Evolve Bank & Trust, una importante empresa estadounidense de servicios bancarios, ha confirmado recientemente que un ciberataque a principios de 2024 comprometió los datos personales de millones de clientes. En una declaración presentada ante el fiscal general de Maine el 8 de julio, Evolve confirmó que la vulneración afectó al menos a 7,6 millones de personas, incluidos más de 20.000 clientes de Maine. Esta revelación marca una repercusión en curso a medida que se sigue revelando el alcance total de la vulneración. La declaración no especificó los tipos de datos comprometidos, pero el banco confirmó previamente que se accedió a nombres, números de la Seguridad Social, detalles de cuentas bancarias e información de contacto de clientes de banca personal. Además, se vieron afectados los datos de los empleados y la información de los socios de tecnología financiera de Evolve. Entre estos socios, Affirm reconoció que algunos datos de los clientes podrían haberse visto comprometidos, mientras que Mercury señaló que se vieron afectados los números de cuenta, los saldos de depósitos, los nombres de los propietarios de empresas y los correos electrónicos. El servicio de transferencia de dinero Wise también confirmó la posible participación de la información personal de sus clientes. Ataque de ransomware a LockBit El alcance de los datos comprometidos sigue siendo incierto mientras Evolve continúa su investigación. La violación se deriva de un ataque de ransomware en febrero por parte de la banda LockBit vinculada a Rusia. Lea más sobre LockBit: Se revela la identidad del líder de LockBit, también conocido como LockBitSupp A pesar de una operación de varios gobiernos que interrumpió al grupo a principios de este año, su administrador sigue en libertad. Evolve habría detectado la intrusión en mayo y descubierto que los piratas informáticos se habían infiltrado en sus sistemas. El banco no cumplió con la demanda de rescate, lo que llevó a LockBit a publicar los datos robados en su sitio de filtraciones de la web oscura. En una carta reciente a los clientes afectados, Evolve detalló que los atacantes accedieron y descargaron datos de sus bases de datos y recursos compartidos de archivos durante febrero y mayo de 2024. Evolve también ha ofrecido a los clientes afectados una membresía gratuita de 24 meses a los servicios de monitoreo de crédito y protección contra robo de identidad de TransUnion a través de Cyberscout. Esta medida es parte de un esfuerzo por mitigar los posibles riesgos de fraude y robo de identidad. «Es muy importante asegurarse de que las organizaciones piensen en los riesgos potenciales dentro de sus cadenas de suministro que podrían afectarlas directamente y que hagan planes para hacer frente a los posibles incidentes», dijo Erich Kron, defensor de la concienciación sobre seguridad en KnowBe4, al comentar la noticia. «Para asegurarse de que no representan un riesgo para sus clientes, las organizaciones deben asegurarse de tener sólidos programas de concienciación sobre seguridad para proteger a los usuarios de ataques de ingeniería social y sólidos controles de prevención de fugas de datos para minimizar el riesgo de exfiltración de datos».