Este fin de semana, una masiva ola de ataques de credential stuffing afectó a varios fondos de pensiones australianos, comprometiendo las cuentas de miles de miembros.
La Asociación de Fondos de Jubilación de Australia (ASFA), el organismo que defiende la industria de los fondos de pensiones, declaró que “algunos miembros fueron afectados”, aunque “la mayoría de los intentos fueron repelidos”.
Impacto en más de 20,000 cuentas
Según Reuters, más de 20.000 cuentas fueron comprometidas en este ataque masivo dirigido a la industria de fondos de pensiones, con algunos miembros reportando pérdidas de parte de sus ahorros.
Varios de los fondos de pensiones más grandes de Australia, que gestionan millones de miembros y decenas o cientos de miles de millones de dólares, confirmaron que algunas de sus cuentas fueron afectadas.
Fondos comprometidos y detalles de los ataques ⚠️
AustralianSuper, el mayor fondo de pensiones de Australia con más de 3.5 millones de miembros y un total de 365 mil millones de dólares en ahorros, confirmó que al menos 600 cuentas fueron vulneradas mediante el uso de credenciales robadas.
La compañía detectó un aumento en la actividad sospechosa en su portal y aplicación móvil, y actuó de inmediato para bloquear las cuentas afectadas.
Rest, otro fondo afectado, reveló que su portal en línea fue atacado el fin de semana del 29-30 de marzo, comprometiendo información limitada de unos 8,000 miembros, como nombres, correos electrónicos y números de identificación.
Afortunadamente, no se encontró evidencia de transferencias fraudulentas de fondos.
Otros fondos y medidas preventivas ️
Hostplus confirmó que sus miembros no perdieron fondos debido a estos ataques y que se está investigando el alcance de los daños.
Insignia Financial, por su parte, sufrió un ataque en su plataforma Expand Wrap, en el que se comprometieron unas 100 cuentas. Aunque no se ha encontrado evidencia de un impacto financiero.
HESTA y Mercer Super, que gestionan los ahorros de más de 2 millones de miembros, no fueron afectados.
Respuesta y medidas de seguridad
En respuesta a los ataques, ASFA estableció una línea de atención para coordinar esfuerzos entre organizaciones del sector, agencias gubernamentales y entidades financieras.
Además, lanzó un “Kit de Herramientas” como parte de su Iniciativa de Protección contra el Crimen Financiero (FCPI) para garantizar una coordinación eficaz dentro del sector.
Recomendaciones de seguridad incluyen no reutilizar credenciales en múltiples plataformas, establecer contraseñas fuertes y únicas, y mantener los dispositivos actualizados.