Instagram
TikTok
X (Twitter)
Facebook
Roams Logo
Persona sosteniendo un móvil con el logotipo de Mutua Más junto a un candado digital roto
Seguridad

Mutua Madrileña confirma una filtración en ElParking: DNI, teléfono y matrícula expuestos, contraseñas a salvo

  • La brecha, detectada el 14 de junio, tardó nueve días en comunicarse
  • Contraseñas y pagos estaban cifrados de forma independiente
Sergio Soto
Sergio Soto
Icono rrss X
Icono rrss Whatsapp
Icono comentarios

Si eres usuario de ElParking o MutuaMás, debes estar alerta ante posibles correos o llamadas sospechosas, ya que la plataforma sufrió un acceso no autorizado a su base de datos el pasado 14 de junio. La compañía comunicó este incidente a sus clientes nueve días después, confirmando que información personal como el nombre, DNI, correo electrónico, teléfono y matrícula del vehículo quedaron expuestos.

Para evitar fraudes, la principal recomendación es desconfiar de cualquier mensaje inesperado que te solicite información adicional.

Esta conocida aplicación, adquirida por la compañía en 2021, es la plataforma de movilidad del Grupo Mutua Madrileña. Al estar integrada en el servicio MutuaMás, permite a los conductores gestionar cómodamente el pago de parkings, parquímetros, ITV y telepeaje.

Cubos con iconos de seguros de hogar, coche y salud agrupados bajo una cúpula de cristal azul.

Qué datos han quedado expuestos

Como consecuencia de esta intrusión, el comunicado remitido por ElParking y MutuaMás a sus usuarios detalla hasta cinco categorías de datos comprometidos. No obstante, la propia compañía aclara que esta filtración solo afecta a los registros que el usuario hubiera facilitado previamente a la aplicación.

  • Nombre completo: identificación básica del propietario de la cuenta.
  • DNI: número de documento de identidad aportado al registrarse.
  • Correo electrónico: dirección de contacto del usuario.
  • Número de teléfono: móvil asociado al perfil.
  • Matrícula del vehículo: datos del coche vinculado a la app.

A pesar de la gravedad de la situación, hay dos categorías críticas que han quedado fuera del alcance del ataque. “Tras las verificaciones realizadas, podemos confirmar que ni las contraseñas de acceso a la aplicación ni los datos de medios de pago se han visto comprometidos”, señala el correo oficial.

Esta buena noticia se debe a que ambas capas de información estaban protegidas con un cifrado independiente. Gracias a esta barrera técnica, se impidió que los atacantes pudieran sustraer credenciales de acceso o información financiera de los clientes.

Pese a esta protección técnica, David Salazar, experto de Roams en seguros, advierte de los riesgos de la información sustraída. “Aunque no se hayan visto comprometidas contraseñas ni tarjetas, no estamos ante una brecha menor”, apunta Salazar. En este sentido, añade que “un DNI, un teléfono, un correo y una matrícula permiten construir un perfil muy útil para fraudes de suplantación, phishing o comunicaciones falsas con apariencia legítima”.

Cómo se contuvo el ataque

En cuanto al desarrollo del incidente, los sistemas de monitorización perimetral de la plataforma detectaron la intrusión el mismo domingo 14 de junio. Según explica el comunicado corporativo, esta rápida detección permitió bloquear la amenaza de forma inmediata.

Una vez logrado el cierre de la brecha, el equipo de seguridad reforzó la vigilancia de todas las bases de datos y de su infraestructura en la nube. Además, cumpliendo con la normativa vigente, la empresa notificó el incidente a la Agencia Española de Protección de Datos (AEPD) y a las Fuerzas y Cuerpos de Seguridad del Estado.

Persona usando una app de parking en un móvil con iconos flotantes alrededor
Fuente: MutuaMas

Cabe recordar que el Reglamento General de Protección de Datos (RGPD) obliga a comunicar cualquier brecha a la AEPD en un plazo máximo de 72 horas desde su descubrimiento. Sin embargo, la notificación directa a los usuarios afectados llegó el 23 de junio, es decir, nueve días después de haberse detectado el acceso.

Al respecto, el experto de Roams recuerda que “el punto más sensible no es solo cuándo se detecta la intrusión, sino cuándo se concluye que hay riesgo para los afectados y qué se les comunica”. Salazar insiste en que en estas crisis “la rapidez pesa, pero también la precisión: una comunicación tardía o demasiado genérica puede erosionar la confianza del cliente”.

Qué hacer si eres cliente de ElParking

Por el momento, MutuaMás afirma no tener ninguna constancia de que los datos expuestos hayan sido utilizados de forma indebida. Aun así, la combinación de nombre, DNI, teléfono y matrícula abre la puerta a posibles campañas de phishing, llamadas fraudulentas y mensajes de smishing diseñados para parecer totalmente legítimos.

Para Salazar, la clave de estas posibles estafas reside en los datos del coche. “La matrícula no es un simple dato accesorio”, recalca el especialista, ya que combinada con el nombre, el teléfono o el DNI de la víctima “puede utilizarse para comunicaciones muy verosímiles: falsas multas, avisos de grúa, revisiones, seguros, ITV o servicios de aparcamiento”.

Frente a este riesgo, la recomendación de la compañía es desconfiar rotundamente de cualquier comunicación que solicite datos adicionales o que incluya enlaces externos sospechosos. Para reportar incidencias o resolver dudas, MutuaMás ha habilitado dos vías de contacto directo: los correos consultaspdatos@mutuamas.es y consultaspdatos@elparking.com, o el teléfono 915 578 265.

Por último, es importante destacar que la operatividad diaria de la herramienta no se ha visto mermada. El servicio de la aplicación, según confirma la propia empresa, opera con total normalidad en estos momentos.

El segundo incidente del grupo en menos de dos años

Lamentablemente, este no es el primer episodio de seguridad al que se enfrenta el grupo asegurador recientemente. En septiembre de 2024, Mutua Madrileña sufrió un ciberataque -vinculado en aquel caso a un proveedor externo- que comprometió los datos de varios clientes de seguros de hogar.

Que la brecha de junio de 2026 afecte ahora a ElParking -la plataforma de movilidad que el grupo adquirió en 2021- muestra una realidad ineludible. El perímetro de exposición del grupo se ha ampliado significativamente a medida que su ecosistema de servicios digitales ha crecido.

Te interesa: opiniones de Mutua Madrileña

Comentarios

Tu opinión nos importa. ¡Cuéntanos!
CTA acción
Comentar
CTA acción
Comparte tu opinión
¡Gracias por tu comentario!
CTA acción
Comentar