Infosys McCamish Systems (IMS) es una multinacional con gran presencia en EE.UU que brinda servicios de consultoría empresarial, tecnologías de la información y outsourcing y que está especializada en sectores como los seguros y los servicios financieros.
A principios de este año la compañía comunicó un ciberataque que afectó a la información confidencial de una gran cantidad de personas. En realidad la infracción tuvo lugar en noviembre de 2023.
En febrero IMS reconoció que había experimentado un incidente de ransomware y que, fruto de él, se habían vulnerado los datos personales de 57.000 clientes de Bank of America.
Ahora se ha conocido la cifra total de afectados y se ha confirmado la autoría de los atacantes. IMS lo ha revelado mediante una notificación compartida con las autoridades de EE.UU.
Los datos de más de 6 millones de personas pueden estar en riesgo. La consultora ya ha avisado a las organizaciones afectadas. Además, se ha sabido que el conocido grupo de ransomware LockBit fue el responsable.
“Con la ayuda de expertos externos en eDiscovery, contratados a través de un asesor externo, IMS procedió a realizar una revisión exhaustiva y que requirió mucho tiempo de los datos en cuestión para identificar la información personal sujeta a acceso y adquisición no autorizados y determinar a quién se relaciona la información personal”, puede leerse en la notificación.
Datos en riesgo
Aunque los detalles que han quedado comprometidos varían de un usuario a otro, incluyen lo siguiente: número de Seguro Social, fecha de nacimiento, tratamiento médico, información de registros, información biométrica, dirección de email y contraseña, nombre de usuario y clave, número de carnet de conducir y licencia estatal, información de la cuenta financiera, información de la tarjeta de pago, número de pasaporte, número de identificación tribal o número de identificación militar de EE.UU.
Para mitigar el riesgo de exposición, las cartas de notificación a los afectados incluyen instrucciones sobre cómo acceder a un servicio gratuito de protección de identidad y monitorización de crédito durante dos años a través de Kroll.