En abril de 2025, varios de los principales fondos de pensiones de Australia, incluyendo AustralianSuper, Australian Retirement Trust, Hostplus, Rest y MLC Expand, fueron víctimas de ciberataques coordinados que comprometieron la seguridad de miles de cuentas y resultaron en pérdidas financieras significativas .
Vulnerabilidades explotadas
Los atacantes emplearon técnicas de “credential stuffing”, utilizando credenciales previamente filtradas para acceder a cuentas de usuarios que no contaban con autenticación multifactor (MFA). A pesar de las advertencias previas de reguladores como la Comisión Australiana de Valores e Inversiones (ASIC) y la Autoridad Reguladora Prudencial de Australia (APRA), muchos fondos no habían implementado medidas de seguridad adecuadas .
Impacto financiero
AustralianSuper confirmó que al menos cuatro de sus miembros perdieron un total de $500,000 AUD debido a estas brechas de seguridad. En un caso destacado, una pensionista de 74 años perdió $406,000 AUD, y la respuesta del fondo fue criticada por su lentitud y falta de comunicación efectiva .
Respuesta y medidas correctivas
Tras los ataques, los fondos afectados han acelerado la implementación de MFA y están revisando sus protocolos de seguridad. AustralianSuper, por ejemplo, ha anunciado inversiones significativas en mejoras de ciberseguridad y la adopción de soluciones basadas en inteligencia artificial para detectar y prevenir futuros ataques .
Lecciones aprendidas
Este incidente subraya la importancia crítica de adoptar medidas de seguridad robustas, como la autenticación multifactor y la supervisión continua de actividades sospechosas. Las organizaciones deben priorizar la ciberseguridad como una función esencial para proteger los activos y la información de sus clientes.
En un mundo cada vez más digitalizado, la protección de los datos y activos financieros requiere una vigilancia constante y la adopción proactiva de tecnologías avanzadas de seguridad.