Volvo no es culpable, pero tendrá que pagar: la empresa afronta las consecuencias de un ataque informático ajeno
Un único ciberataque afectó a 25 empresas y 200 municipios.
Volvo Group North America envió notificaciones a empleados actuales y anteriores sobre la vulneración de datos personales ocurrida tras el hackeo de los sistemas de un proveedor externo de servicios de recursos humanos — la empresa sueca Miljödata. El incidente afectó los registros internos de personal, incluidos nombres y números de seguro social (SSN).
El ataque con ransomware se produjo el 20 de agosto de 2025. El malware cifró los servidores del proveedor y provocó interrupciones en los servicios. La actividad sospechosa se detectó el 23 de agosto y, el 2 de septiembre, una revisión interna confirmó que podría haberse producido una filtración de datos personales. Tras constatarse la intrusión, Miljödata notificó a la empresa y emprendió medidas para contener la amenaza. La infraestructura de Volvo Group no resultó afectada: el ataque se limitó al entorno del contratista.
Se trataría de la posible compromisión de información básica de identificación, incluidos apellidos, nombres y números de seguro social. Los datos sobre salarios, cuentas bancarias y pólizas de seguro no se vieron afectados. No obstante, la presencia de números de SSN en la filtración aumenta el riesgo de fraude y robo de identidad en caso de un uso indebido posterior.
Volvo Group y Miljödata continúan conjuntamente la investigación sobre el alcance del incidente, incluida la posibilidad de filtración de otras categorías de información. Paralelamente, Miljödata contrató a especialistas independientes en ciberseguridad para realizar una pericia digital integral y modernizar su propia infraestructura. Por su parte, el cliente inició una reevaluación interna de las políticas de control de contratistas y de protección de la información.
Como medida para mitigar riesgos, Volvo Group ofreció a los empleados afectados acceso gratuito al servicio Allstate Identity Protection Pro+ por 18 meses. El servicio incluye monitoreo del historial crediticio, seguimiento de la puntuación de crédito, vigilancia de menciones en la dark web y apoyo integral para la recuperación de identidad en caso de incidentes. Las credenciales e instrucciones para activar el servicio se envían por correo electrónico y postal de forma simultánea.
A los afectados se les recomienda mantener la vigilancia: comprobar regularmente los extractos bancarios y de crédito, ejercer el derecho a obtener informes de crédito gratuitos y, si es necesario, solicitar alertas de fraude o el congelamiento del expediente crediticio. Existe un servicio de atención específico para brindar apoyo operativo y asesoramiento sobre la protección de la identidad y las acciones para minimizar el daño potencial.
El incidente en Miljödata afectó a alrededor de 25 empresas privadas, entre ellas la aerolínea SAS y la compañía metalúrgica Boliden, así como a aproximadamente 200 municipios suecos, incluido Estocolmo. La compromisión también alcanzó a varias instituciones académicas.
El grupo DataCarry se atribuyó la responsabilidad del ataque y publicó un archivo con los datos sustraídos en su sitio en Tor el 14 de septiembre. Dos días después, la información —incluidos 870 000 correos electrónicos únicos, además de nombres, direcciones, teléfonos, fechas de nacimiento e identificadores estatales— se añadió a la base de datos Have I Been Pwned.