En las últimas semanas, se han hecho públicos dos incidentes graves en el ámbito de la ciberseguridad corporativa: el ataque mediante ransomware a la aseguradora Mapfre y la filtración masiva de información sensible en la Agencia EFE. Ambos casos evidencian vulnerabilidades estructurales que persisten a pesar del conocimiento ampliamente disponible sobre ciberseguridad, y exigen una revisión profunda de las prácticas actuales en el entorno empresarial e institucional.
Lee tambiénEl robo del siglo: se filtran 16.000 millones de contraseñas; tus credenciales de Google, Apple y Facebook están en peligro
El caso Mapfre: cronología y análisis técnico
En agosto de 2020, Mapfre fue víctima de un ataque de ransomware que afectó de forma directa sus operaciones. El acceso inicial no autorizado se produjo semanas antes, mediante credenciales legítimas utilizadas por un colaborador externo a través de un sistema de acceso remoto. Esta brecha permitió al atacante moverse lateralmente en la red corporativa y desplegar el cifrado de archivos, afectando a servicios clave como la emisión de pólizas o la asistencia en carretera.
La respuesta por parte de Mapfre incluyó la activación inmediata de su plan de contingencia, el aislamiento de sistemas críticos y la notificación a la Agencia Española de Protección de Datos (AEPD). El informe posterior de la AEPD reconoció la rapidez de la reacción y no impuso sanciones, al considerar que la entidad actuó conforme a la normativa vigente. No obstante, el incidente dejó en evidencia la necesidad de fortalecer los controles de acceso, la supervisión del personal externo y la aplicación de autenticación multifactor.
En 2023 y 2024, diversas fuentes especializadas detectaron nuevas filtraciones asociadas a correos con el dominio @mapfre.com. Estas filtraciones incluyeron contraseñas en texto plano, registros internos y datos personales. Según las últimas revisiones, se han detectado al menos 58 credenciales expuestas públicamente. Considerando que Mapfre cuenta con más de 30.000 empleados, se trata de una proporción baja, pero suficiente para comprometer activos clave si las credenciales afectadas tienen privilegios elevados o acceso transversal a sistemas corporativos.
La ciberseguridad debe comenzar desde la base.
Agencia EFE: una infraestructura comprometida durante más de 72 horas
En mayo de 2025, la Agencia EFE confirmó públicamente un ciberataque dirigido a una infraestructura externa bajo su responsabilidad. La intrusión, que se habría prolongado durante aproximadamente tres días, afectó entornos vinculados a la gestión interna y expuso más de 300 GB de información, según los análisis preliminares.
Diversas fuentes apuntan a una posible explotación de vulnerabilidades en el software Ivanti CSA, utilizado para la gestión de acceso remoto. Aunque no se ha revelado el alcance completo del daño, se ha informado que se vieron comprometidos datos organizativos, contraseñas cifradas y archivos confidenciales. La Agencia EFE notificó formalmente el incidente al Centro Criptológico Nacional (CCN) y a la AEPD, e inició una revisión técnica y legal de sus sistemas.
Uno de los aspectos más relevantes del caso es la gestión comunicativa interna. Varios representantes sindicales denunciaron la falta de transparencia hacia los trabajadores y el escaso detalle proporcionado por la dirección durante los días posteriores al ataque. Esta deficiencia plantea interrogantes sobre la madurez de los protocolos internos en materia de gestión de crisis digitales.
A pesar de las diferencias entre Mapfre y la Agencia EFE en cuanto a sector y naturaleza jurídica, ambos incidentes comparten varios factores técnicos que explican la exposición.
Factores estructurales comunes en ambos incidentes
A pesar de las diferencias entre Mapfre y la Agencia EFE en cuanto a sector y naturaleza jurídica, ambos incidentes comparten varios factores técnicos que explican la exposición:
- Accesos remotos habilitados sin segmentación de red adecuada ni políticas de autenticación reforzada.
- Uso de credenciales sin control de rotación, sin detección precoz de movimientos laterales y, en algunos casos, sin autenticación multifactor.
- Sistemas con arquitecturas híbridas, donde conviven infraestructuras heredadas con servicios en la nube, sin una integración sólida de políticas de seguridad.
- Dificultades en la detección temprana de actividad anómala y en la contención de incidentes en sus fases iniciales.
- Comunicación interna deficiente, que impide una respuesta coordinada y reduce la capacidad de reacción del personal operativo.
Estos patrones no son exclusivos de las dos entidades mencionadas. Se reproducen con frecuencia en organizaciones de todos los tamaños, y ponen de manifiesto la necesidad de replantear el enfoque de la ciberseguridad como elemento transversal e integrado en la gobernanza corporativa.
La acumulación de incidentes de seguridad recientes evidencia que la gestión del riesgo digital sigue siendo insuficiente en muchas organizaciones.
¿Qué se puede hacer para evitar estos ataques?
La acumulación de incidentes de seguridad recientes —desde ataques con ransomware hasta filtraciones masivas de datos corporativos— evidencia que la gestión del riesgo digital sigue siendo insuficiente en muchas organizaciones. No se trata únicamente de herramientas tecnológicas o de infraestructura; es una cuestión de gobernanza, supervisión y cultura organizativa.
Contar con protocolos teóricos no sustituye la ejecución efectiva. Disponer de políticas de seguridad en papel no mitiga los riesgos si no están correctamente implementadas, auditadas y actualizadas. Y sobre todo, confiar en que el tamaño o la notoriedad empresarial ofrecen algún tipo de blindaje es, a día de hoy, una premisa técnica insostenible.
Lee tambiénSelva Orejón, experta en ciberseguridad: “Las mafias digitales ahora operan como multinacionales: tienen atención al cliente y hasta soporte técnico para hackers novatos”
La ciberseguridad debe dejar de ser una función delegada a un departamento aislado y convertirse en una responsabilidad estratégica, directamente vinculada a la continuidad de negocio, la reputación institucional y la protección jurídica de los datos. Solo así será posible enfrentar con garantías un entorno cada vez más hostil, complejo y expuesto.
Selva Orejón es perito judicial en identidad digital y ciberinteligencia, además de CEO de OnbrandinG.