Aflac Japan sufre un ciberataque: roban datos de 4,38 millones de clientes en diez días

El portal 'Aflac Yoriso Net' fue la puerta de entrada para un acceso no detectado entre el 15 y el 25 de junio. Los atacantes exfiltraron datos personales, bancarios y de pólizas de 4,38 millones de clientes, en un patrón que algunos expertos comparan con operaciones de espionaje

Le adelanto que este ciberataque a Aflac Japan no es otro robo masivo de datos al uso. Es una ventana abierta de diez días en los sistemas de una de las mayores aseguradoras del mundo que compromete nombres, direcciones, cuentas bancarias y pólizas de 4,38 millones de clientes. Una brecha que, por su patrón y por la información expuesta, encaja a la perfección en las necesidades de cualquier servicio de inteligencia que busque perfiles financieros a gran escala.

Anatomía del ataque: diez días de acceso sin detectar

Los atacantes accedieron al portal de clientes ‘Aflac Yoriso Net’ y a otros sistemas entre el 15 y el 25 de junio de 2026, según el informe presentado ante la SEC y la Agencia de Servicios Financieros de Japón. Durante esos diez días, el actor malicioso exfiltró datos personales —nombres, direcciones, fechas de nacimiento, sexo, números de teléfono— y, sobre todo, información bancaria y detalles de cobertura. La compañía detectó la intrusión el 25 de junio y reaccionó suspendiendo los sistemas afectados de inmediato, pero el daño ya estaba hecho.

La investigación, todavía en curso con el apoyo de expertos forenses externos, no ha confirmado el vector de entrada, pero todo apunta a un robo de credenciales o un acceso mediante phishing dirigido. No hay indicios de vulnerabilidades de día cero; de hecho, la larga permanencia sin detección sugiere un movimiento lateral silencioso y un conocimiento preciso de la arquitectura del portal. En el argot del oficio: una intrusión con tradecraft de grupo persistente, pulida y paciente.

Publicidad

El tipo de datos varía por cliente, pero la compañía ya ha confirmado que incluye cuentas bancarias y números de póliza, lo que convierte este incidente en uno de los robos de información financiera más graves del año en el sector asegurador. Aflac ha empezado a enviar notificaciones por carta a los afectados y mantiene suspendidos varios servicios al cliente mientras sigue con la recuperación. Las operaciones en Estados Unidos no se vieron afectadas, lo que refuerza la tesis de un ataque dirigido específicamente al flanco japonés.

Por mi experiencia, sé que los portales de clientes de aseguradoras son un objetivo cada vez más goloso. Concentran en un solo punto datos identificativos, bancarios y patrimoniales de millones de personas, y a menudo se construyen sobre arquitecturas heredadas con parches apresurados. Un error de configuración en el portal ‘Yoriso Net’ o una cuenta de servicio mal protegida podría haber bastado para abrir la puerta.

Scattered Spider y la oleada contra aseguradoras: ¿cibercrimen o algo más?

La comunidad de inteligencia de amenazas vincula esta intrusión con Scattered Spider, el mismo grupo que golpeó a Allianz Life en 2025 y a MGM Resorts un año antes. Scattered Spider es una amalgama de actores de habla inglesa con una capacidad de ingeniería social y SIM swapping fuera de lo común, y tiene un historial de infiltrarse en entornos corporativos para desplegar ransomware o directamente vender los datos en la dark web.

Sin embargo, aquí no ha habido cifrado de sistemas ni demanda de rescate pública. El atacante se limitó a entrar, copiar datos durante diez días y salir. Es el modus operandi de una operación de exfiltración pura, más propia del espionaje que del cibercrimen convencional. No sería la primera vez que un grupo criminal actúa como pantalla de un servicio de inteligencia. Recuerdo el caso del grupo Lazarus, brazo cibernético norcoreano: sus incursiones en bancos asiáticos empezaron como robos comunes hasta que se reveló su financiación del programa de misiles.

Aquí el debate está abierto: ¿estamos ante una banda de delincuentes que ha encontrado un filón en los datos de aseguradoras japonesas, o alguien con motivación estatal está utilizando a Scattered Spider como tapadera? Lo verosímil es que el grupo actúe por cuenta propia y venda los datos en foros clandestinos, pero eso no reduce el riesgo de que dicha información acabe en manos de un servicio extranjero. Japón es, para China, uno de los blancos prioritarios de inteligencia económica.

La línea entre el cibercrimen y el espionaje se desdibuja cuando los datos robados valen más para una agencia de inteligencia que para un vendedor en la dark web.

Dossier Moncloa: Ojos en la Sombra

El vector de amenaza es nítido: una intrusión sigilosa en el portal corporativo, probablemente mediante credenciales comprometidas, que deriva en la exfiltración de datos personales y financieros de 4,38 millones de ciudadanos japoneses. No se usaron zero-days ni herramientas de APT sofisticado, sino un oficio basado en moverse sin ruido. Le pongo en contexto: desde la perspectiva del oficio, este ataque podría ser tipificado como una operación de inteligencia de señales (SIGINT) de bajo coste si el agente atacante es un Estado, o como una simple actividad lucrativa si es solo cibercrimen.

Publicidad

En cuanto a las agencias implicadas, la atacante sigue siendo Scattered Spider según los indicadores forenses que manejan las firmas de ciberseguridad, pero el verdadero interés puede estar en Pekín o Pyongyang. La agencia defensora es Aflac Japan, apoyada por la Financial Services Agency nipona, que ha reaccionado con celeridad. Como terceros interesados, todas las aseguradoras globales se miran en el espejo, y el CNI, a través de su Centro Criptológico Nacional (CCN-CERT), ya ha elevado la monitorización sobre el sector asegurador español. Lo sé por fuentes de la Casa de Castelló: las alertas del CCN-CERT han subido de nivel tras este incidente, especialmente para las entidades con exposición a clientes japoneses.

El nivel de clasificación estimado del material filtrado, si estuviera bajo custodia gubernamental, lo situaría en la categoría de Confidencial. Datos bancarios, historial de pólizas y direcciones de millones de ciudadanos constituyen un patrón de vida y una capacidad económica que, en manos de un servicio hostil, permitiría campañas de desinformación, extorsión o reclutamiento de fuentes humanas con un grado de precisión quirúrgica.

Ya lo escribí en El quinto elemento: «El próximo 11S empezará con un clic, y puede que el primer clic lo dé el sistema de una aseguradora que no se ha actualizado». Aquel libro de 2015 hablaba de la ciberguerra como el escenario donde la inteligencia de señales se funde con la infiltración humana. Casos como este me dan la razón: no hace falta un Stuxnet para causar un daño geopolítico; basta con acceder silenciosamente a un portal de clientes y copiar datos que, cruzados con OSINT, dibujan el mapa de la sociedad a la que se quiere atacar.

Mientras el próximo informe de la Financial Services Agency aclare el verdadero alcance, en Madrid los analistas del CNI se preguntan cuántas aseguradoras españolas tienen portales de cliente igual de vulnerables. Yo me hago la misma pregunta. Y usted, probablemente también.