Un ciberataque contra Almerys, una empresa clave del sistema francés de “tiers payant” (el mecanismo que evita adelantar dinero en farmacias y centros sanitarios), ha dejado al descubierto datos personales de beneficiarios. La intrusión se produjo en mayo de 2026 y afecta a clientes de distintas aseguradoras y mutuas que usan sus servicios.
La compañía no ha precisado cuántas personas están potencialmente afectadas. Sí ha confirmado que el acceso no autorizado se produjo en la plataforma que utilizan profesionales y centros de salud para tramitar autorizaciones de cobertura, lo que ya está provocando problemas prácticos en consultas y establecimientos.
Lo filtrado no incluye historiales médicos, pero sí información administrativa suficiente para alimentar campañas de fraude. Varias aseguradoras han empezado a avisar a sus asegurados: tras una brecha así, suelen dispararse los SMS, correos y llamadas que suplantan a entidades sanitarias para robar datos o documentos.
Almerys desconecta la web de autorizaciones para contener la intrusión
Sommaire
- 1 Almerys desconecta la web de autorizaciones para contener la intrusión
- 2 Qué datos se han expuesto: identidad, número de la Seguridad Social y póliza
- 3 Alan avisa a sus asegurados y entran en juego los reguladores franceses
- 4 El precedente de 2024: cuentas de profesionales comprometidas y millones de víctimas
- 5 Estafas para los asegurados y bloqueos en ópticas, dentistas y audiología
- 6 Puntos clave
- 7 Preguntas frecuentes
- 8 Fuentes
El ataque se centró en el portal de emisión de “prises en charge” (PEC), autorizaciones que permiten validar determinados actos o presupuestos antes de prestar el servicio. Almerys asegura que tomó medidas “inmediatas” para identificar y neutralizar los accesos comprometidos.
La decisión más visible ha sido dejar fuera de servicio esa web, una medida de contención que frena nuevos accesos no autorizados, pero que también desordena parte del circuito asistencial. En la práctica, cuando el sistema cae, la pregunta es simple: quién valida, por qué canal y en qué plazo.
La empresa sostiene que el incidente se limita a ese portal y que el resto de su operativa sigue funcionando: gestión administrativa, actualización de bases, tratamiento de flujos y pagos. Es decir, el “motor” financiero seguiría en marcha, pero una pieza crítica de atención a profesionales queda parada.
Para evitar un bloqueo total, Almerys habla de una fase transitoria con soluciones alternativas para clínicas y establecimientos. Traducido al día a día: más gestiones manuales, más llamadas, más justificantes y más esperas para pacientes que necesitan una confirmación rápida.
Según Almerys y las comunicaciones trasladadas por algunas mutuas, la información potencialmente expuesta es de carácter administrativo: nombre, apellidos, fecha de nacimiento y, sobre todo, el número de la Seguridad Social francesa.
También figuran datos de afiliación: nombre de la aseguradora o mutua, número de contrato y fechas de inicio y fin de cobertura. No es información clínica, pero sí una base sólida para la suplantación de identidad y el fraude.
Con esos datos, un estafador puede construir mensajes muy verosímiles, con apariencia de comunicación oficial, y empujar a la víctima a entrar en un portal falso o a enviar documentación. Es el patrón clásico de la ingeniería social: urgencia, miedo y una excusa administrativa.
Varias notificaciones insisten en lo que, en principio, no estaría afectado: datos bancarios, información médica, reembolsos, dirección postal, teléfono y correo electrónico, al no estar almacenados en la plataforma atacada. Aun así, el riesgo de estafa no desaparece: los delincuentes pueden cruzar esta filtración con bases de datos obtenidas por otras vías.
Alan avisa a sus asegurados y entran en juego los reguladores franceses
Entre las reacciones más visibles está la de Alan, una aseguradora sanitaria digital francesa, que ha alertado a sus asegurados tras el ataque del 22 de mayo. Su mensaje es directo: es probable que aumenten los intentos de fraude en las semanas posteriores.
La compañía indica que ha presentado denuncia y ha comunicado el caso a las autoridades. En Francia, la CNIL es el organismo equivalente a la Agencia Española de Protección de Datos, y la ACPR es el supervisor del sector asegurador (depende del Banco de Francia).
Almerys, por su parte, afirma haber notificado el incidente a la CNIL y haberlo declarado ante la ANSSI, la agencia nacional francesa de ciberseguridad. La gran incógnita sigue siendo el alcance real: no hay cifra oficial de afectados.
Medios franceses como BFM TV señalan que la magnitud de la filtración aún no está clara, aunque la exposición de datos es real. En el ecosistema de mutuas, algunas entidades aparecen vinculadas por el uso del proveedor, como AG2R, mientras que MGEN ha asegurado no estar afectada.
El precedente de 2024: cuentas de profesionales comprometidas y millones de víctimas
El nombre de Almerys ya estuvo asociado a un episodio grave en febrero de 2024, cuando se habló de una intrusión ligada a la suplantación de credenciales de profesionales sanitarios. Es una vía de entrada habitual: si el atacante roba un usuario legítimo, puede moverse como si fuera un trabajador autorizado.
Aquel caso se vinculó a una cifra que impactó en Francia: 33 millones de víctimas, según la información publicada entonces. Aunque cada incidente tiene su perímetro, el recuerdo de 2024 pesa ahora sobre la confianza en la compañía y sobre las exigencias de refuerzo en autenticación y detección de accesos anómalos.
La desconexión del portal PEC en 2026 es, en ese sentido, un síntoma claro: se corta el acceso para frenar la “hemorragia”, pero también se asume que el ataque ha tocado una herramienta de uso diario para clínicas y centros.
Estafas para los asegurados y bloqueos en ópticas, dentistas y audiología
Para los asegurados, el riesgo más inmediato es recibir mensajes que se hacen pasar por la mutua o por el operador del “tiers payant”: “actualización de datos”, “regularización”, “nueva tarjeta”, “reembolso bloqueado”. El objetivo suele ser el mismo: que pinchéis en un enlace o enviéis documentación.
La recomendación práctica es desconfiar de cualquier solicitud no esperada, no abrir enlaces y contactar siempre por los canales oficiales habituales. Si un mensaje mete prisa o amenaza con perder cobertura, mala señal.
En paralelo, los profesionales sanitarios se enfrentan a un problema de flujo. En ópticas, odontología o audiología, la autorización rápida puede condicionar la entrega de gafas, prótesis o audífonos. Sin el portal, se multiplican los retrasos y algunos pacientes acaban adelantando el pago o posponiendo el tratamiento.
Almerys insiste en que los pagos y la operativa esencial continúan, pero la parte que valida autorizaciones sigue siendo el cuello de botella. Si la solución provisional se alarga, el impacto dejará de ser solo un asunto de ciberseguridad: se notará en la organización de la atención y en el bolsillo de los pacientes.
Puntos clave
- Almerys confirma un ciberataque en mayo de 2026 y cerró el sitio de emisión de las PEC.
- Los datos potencialmente expuestos incluyen identidad, número de la seguridad social e información del contrato.
- Alan advierte de un mayor riesgo de estafas, con notificaciones a la CNIL y a la ACPR.
- El incidente recuerda la filtración de 2024 vinculada a la suplantación de cuentas de profesionales sanitarios.
- Las perturbaciones afectan sobre todo a las coberturas en óptica, dental, audiología y algunas hospitalizaciones.
Preguntas frecuentes
¿Qué datos podrían haberse expuesto durante el ciberataque a Almerys?
La información mencionada como potencialmente expuesta incluye el apellido, el nombre, la fecha de nacimiento, el número de la seguridad social, el nombre del asegurador de salud, un número de contrato y las fechas de inicio y fin de la cobertura.
¿Están afectados los datos bancarios o los datos médicos?
Según la información transmitida por una mutua, los datos bancarios, los datos médicos, los reembolsos de salud, así como varios datos de contacto (dirección postal, teléfono, correo electrónico) no se almacenan en la plataforma afectada y, por lo tanto, no deberían verse impactados por este incidente.
¿Por qué se cerró el sitio PEC y qué servicios están afectados?
El sitio de emisión de autorizaciones de cobertura (PEC) se cerró para contener el acceso no autorizado. Este cierre afecta a las solicitudes de autorizaciones de cobertura, en particular en óptica, audiología, odontología y algunas coberturas hospitalarias, mientras que otros servicios de gestión y pago se anuncian como operativos.
¿Qué hacer si recibo un mensaje sospechoso que se hace pasar por mi mutua?
Hay que extremar la vigilancia, evitar hacer clic en enlaces o enviar documentos a partir de un mensaje no solicitado y priorizar los canales habituales de contacto de su aseguradora o mutua. Las aseguradoras, incluida Alan, han alertado sobre la posible proliferación de mensajes fraudulentos tras el incidente.
Fuentes
- Cyberattaque chez almerys : Fuite de données personnelles – Mutuelle MMH
- Cyberattaque chez Almerys : l'assureur Alan appelle à la prudence ses usagers
- Le géant du tiers payant Almerys victime d’une cyberattaque : quelles sont les données qui ont été piratées ? – midilibre.fr
- Cyberattaque chez Almerys : comment un incident contre un prestataire de tiers-payant expose les assurés de plusieurs mutuelles
- Cyberattaque: Almerys, spécialiste du tiers payant, confirme avoir été victime d’une fuite de données dont…
