La empresa tecnológica Ultrahuman, conocida por sus anillos inteligentes orientados a la monitorización de la salud, ha sufrido un incidente de ciberseguridad que ha afectado a parte de sus usuarios. El acceso no autorizado se produjo cuando un atacante consiguió entrar en un sistema interno de analítica de la compañía mediante credenciales comprometidas de un empleado. Estas credenciales habrían sido obtenidas tras la infección con malware de un dispositivo corporativo, lo que permitió el acceso indirecto al entorno interno.
La compañía detectó el incidente en un corto periodo de tiempo y bloqueó el acceso de inmediato, reforzando además sus medidas de seguridad. Según la información disponible, el incidente se habría limitado a herramientas internas de análisis, sin afectar directamente a los dispositivos de los usuarios ni a los sistemas críticos.
Qué información se ha visto comprometida
Aunque no se han visto comprometidos datos como contraseñas o información bancaria, sí se habría producido una exposición de datos personales relacionados con el servicio. Entre ellos se incluyen información de contacto, datos asociados a cuentas de usuario, registros de pedidos y determinadas métricas vinculadas al uso de los dispositivos de salud.
Este tipo de información, aunque no sea extremadamente sensible por sí sola, puede tener un alto valor en combinación con otros datos, ya que permite construir perfiles de comportamiento y facilita ataques de ingeniería social.
Impacto en la privacidad de los usuarios
En el contexto de los dispositivos wearables, la exposición de datos personales puede tener implicaciones relevantes para la privacidad. La combinación de información de contacto con hábitos de uso o datos de salud puede facilitar intentos de suplantación de identidad o campañas de phishing altamente personalizadas. Además, estos datos pueden ser utilizados para perfilar a los usuarios con fines fraudulentos, incrementando así el riesgo para los afectados.
Cómo puede ayudarte FORLOPD en el cumplimiento del RGPD
En FORLOPD ayudamos a empresas que tratan datos personales, especialmente en entornos tecnológicos o que manejan información sensible, a cumplir con el Reglamento General de Protección de Datos y a reforzar su seguridad jurídica y técnica.
Escríbenos a info@forlopd.es y minimiza el riesgo a sanciones.
Medidas clave para prevenir incidentes similares
Este tipo de incidentes suele originarse en accesos no autorizados a sistemas internos mediante credenciales comprometidas o entornos insuficientemente protegidos. Por ello, es fundamental reforzar el control de accesos, aplicar el principio de mínimo privilegio y utilizar sistemas de autenticación multifactor.
También resulta esencial la formación continua en ciberseguridad para empleados, ya que el factor humano es uno de los principales vectores de ataque. A esto se suma la necesidad de monitorizar los accesos a los sistemas, detectar comportamientos anómalos y gestionar adecuadamente los dispositivos corporativos. Las auditorías periódicas permiten identificar vulnerabilidades antes de que puedan ser explotadas.
Es recomendable contar con certificaciones en seguridad como la ISO 27001 o el Esquema Nacional de Seguridad para mayor protección.
Recomendaciones en materia de protección de datos
Desde la perspectiva del RGPD, las organizaciones deben aplicar medidas técnicas y organizativas adecuadas al nivel de riesgo del tratamiento. En el caso de datos de salud o comportamiento, estas medidas deben ser especialmente rigurosas.
Es recomendable realizar evaluaciones de impacto en protección de datos cuando se traten categorías especiales de datos, así como aplicar el principio de minimización, garantizando que solo se recogen los datos estrictamente necesarios. También es importante establecer políticas claras de conservación y eliminación de datos, asegurar la trazabilidad de los accesos y disponer de protocolos para notificar brechas de seguridad dentro del plazo legal de 72 horas. Asimismo, resulta clave revisar de forma periódica la seguridad de los proveedores que actúan como encargados de tratamiento.
¿Se han filtrado contraseñas o datos bancarios?
No, según la información disponible no se han visto comprometidas contraseñas ni datos de pago de los usuarios.
¿Qué tipo de información se ha expuesto?
Se habrían expuesto datos de contacto, información asociada a cuentas de usuario, registros de pedidos y algunos datos relacionados con el uso del dispositivo.
¿Es grave una filtración de este tipo si no hay datos bancarios?
Sí, puede serlo. Aunque no se hayan filtrado datos financieros, la información expuesta puede utilizarse para realizar ataques de phishing, suplantación de identidad o ingeniería social.
¿Qué deberían hacer los usuarios afectados?
Es recomendable extremar la precaución ante correos o mensajes sospechosos, no facilitar información personal sin verificar el origen y activar la autenticación en dos pasos siempre que sea posible.
¿Qué obligaciones tiene la empresa en estos casos?
La empresa debe garantizar la seguridad de los datos personales, evaluar el riesgo del incidente y notificarlo a la autoridad de control y a los usuarios afectados cuando exista un riesgo para sus derechos y libertades, conforme al RGPD.
Protege tu empresa con FORLOPD
En FORLOPD ayudamos a empresas tecnológicas, startups y organizaciones que tratan datos personales a adaptarse al RGPD y a reforzar sus sistemas de seguridad y cumplimiento normativo.
Si quieres reducir riesgos como los derivados de este tipo de incidentes y asegurar que tu empresa cumple correctamente con la normativa.
