La empresa estadounidense de detección de empleados DISA sufre una filtración de datos que afecta a más de 3,3 millones de personas

DISA Global Solutions, proveedor de servicios de evaluación de empleados con sede en Estados Unidos, afirmó que fue víctima de ataques piratas informáticos, poniendo en riesgo la información de identificación personal de 3,3 millones de personas.

Aunque DISA informó al fiscal general de Maine sobre la violación de datos ayer (gracias, TechCrunch ) e informó del hackeo a la Oficina de Asuntos del Consumidor y Regulación Empresarial de Massachusetts el 22 de febrero, el ataque comenzó hace más de un año, el 9 de febrero de 2024. El pirata informático no identificado accedió a la red de DISA durante dos meses antes de que la empresa se diera cuenta el 22 de abril de 2024. Sin embargo, supuestamente "no hay evidencia de mal uso real o intento de uso" de información personal.

En una carta de notificación enviada a los afectados por el ataque, la DISA afirmó que “no podía concluir definitivamente qué datos específicos habían sido obtenidos”, incluso después de una investigación con la ayuda de terceros. Sin embargo, la presentación de Massachusetts enumeraba a qué accedieron los atacantes: números de la Seguridad Social, cuentas financieras, licencias de conducir y números de crédito y débito. La DISA no compartió otros detalles sobre el ataque.

DISA presta servicios a más de 55.000 clientes, incluido el 30 por ciento de las empresas de Fortune 500. La empresa ofrece comprobaciones de antecedentes, consumo de drogas y alcohol, lo que le permite recopilar información confidencial, lo que la convierte en un objetivo prioritario para los cibercriminales.

No se sabe por qué DISA tardó casi un año en notificar a alguien, especialmente cuando la selección de personal es una industria altamente sensible. Los afectados pueden inscribirse para recibir durante 12 meses servicios de monitoreo de crédito y restauración de identidad, una acción de disculpa común que las empresas suelen adoptar después de un incidente de ciberseguridad.