El administrador de beneficios detectó acceso no autorizado en enero tras 25 días de intrusión. Nombres, fechas de nacimiento, números de Seguro Social e información de planes de salud quedaron comprometidos.
Navia Benefit Solutions notificó este 18 de marzo a casi 2.7 millones de personas que sus datos personales fueron accedidos y probablemente exfiltrados durante una intrusión que permaneció activa durante 25 días. La compañía, que administra beneficios de salud para más de 10.000 empleadores en Estados Unidos, informó a la oficina del Fiscal General de Maine que el incidente afectó a 2.697.540 individuos en total, incluyendo 833 residentes de ese estado.
Los atacantes mantuvieron acceso a los sistemas corporativos entre el 22 de diciembre de 2025 y el 15 de enero de 2026, aunque la actividad sospechosa no fue detectada hasta el 23 de enero.
La información comprometida incluye nombres completos, fechas de nacimiento, números de Seguro Social, números de teléfono, direcciones de correo electrónico y detalles de participación en planes de salud como cuentas de ahorro flexible (FSA), acuerdos de reembolso de salud (HRA) y cobertura COBRA.
Según la notificación oficial enviada a los afectados, Navia confirmó que un actor no autorizado accedió y adquirió cierta información durante la ventana de intrusión. La empresa subraya que no se vio comprometida información financiera directa como números de cuenta bancaria ni datos de reclamaciones médicas, pero el volumen y la sensibilidad de los datos expuestos representa un riesgo significativo para las víctimas.
El vector de ataque inicial habría sido una vulnerabilidad en una interfaz de programación de aplicaciones (API) que permitió a los atacantes obtener acceso de solo lectura a los datos de los participantes. Este acceso limitado explicaría en parte por qué la intrusión tardó semanas en ser detectada, los atacantes no alteraron sistemas ni movieron fondos, sino que navegaron silenciosamente por el entorno extrayendo información.
Navia ha parcheado la vulnerabilidad y deshabilitado temporalmente el registro de nuevos participantes mientras refuerza los controles de autenticación con autenticación multifactor obligatoria.
Para las casi 2.7 millones de personas afectadas, el riesgo inmediato no es el fraude financiero directo sino el robo de identidad y los ataques de ingeniería social altamente dirigidos. Con nombres, números de Seguro Social y detalles de beneficios de salud, los atacantes pueden construir perfiles completos de las víctimas para solicitar créditos fraudulentos, presentar declaraciones fiscales falsas o ejecutar campañas de phishing convincentes que referencien información real de los planes de salud de cada objetivo. Los datos comprometidos abarcan registros desde 2018, lo que significa que empleados actuales y anteriores de organizaciones que contrataron a Navia durante los últimos siete años pueden estar afectados.
Navia ha contratado a Kroll para proporcionar 12 meses de monitoreo de crédito y servicios de restauración de identidad a todos los afectados. La empresa también ha notificado a las autoridades federales y está colaborando con las agencias de aplicación de la ley. Los expertos en seguridad recomiendan que los destinatarios de la notificación activen inmediatamente los servicios de monitoreo, coloquen alertas de fraude o congelamientos de seguridad en sus archivos crediticios con las tres principales agencias de crédito y mantengan vigilancia ante comunicaciones que referencien sus beneficios de salud o cuentas de ahorro médico. Hasta el momento, ningún grupo de ransomware ha reclamado responsabilidad por el ataque.
FUENTE ORIGINAL
Maine Attorney General↗CURADO POR
Johan Ricardo