La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 4 millones de euros a Xfera Móviles (Yoigo) por la brecha de seguridad que expuso datos sensibles de clientes en 2023. El incidente, originado por un fallo de configuración en los servidores DNS que dejó inoperativo el doble factor de autenticación (2FA), permitió a un atacante acceder al sistema interno de tiendas y consultar masivamente información personal y bancaria de usuarios.
La resolución (EXP202307113) detalla un caso especialmente grave porque afecta a datos de carácter financiero, se prolongó durante semanas y puso de manifiesto carencias en la gestión de riesgos y en la gobernanza técnica de cambios críticos en la infraestructura de la operadora.
Qué pasó realmente en la brecha de Yoigo
El origen de todo está en Vista4Retail (VFR), una aplicación interna que utilizan más de 11.000 empleados y colaboradores en más de 1.000 tiendas y canales de atención de Yoigo para consultar datos de clientes: un “buscador” central sobre el que se apoya buena parte de la operativa comercial y de soporte.
En teoría, el acceso a VFR estaba protegido mediante un proxy de autenticación (Identity-Aware Proxy en Google Cloud) con doble factor de autenticación. Es decir, aunque alguien robara usuario y contraseña, el 2FA debía actuar como segunda barrera.
Pero a finales de febrero de 2023, durante unos trabajos programados sobre los DNS corporativos, un empleado aplicó una configuración desactualizada. Ese cambio hizo que el tráfico hacia VFR dejara de pasar por el proxy de autenticación, de modo que durante un periodo de algo más de un mes el sistema aceptaba accesos solo con usuario y contraseña, sin requerir el segundo factor.
En ese intervalo, un atacante —del que aún no se sabe cómo obtuvo las credenciales— utilizó la cuenta legítima de un usuario para lanzar consultas masivas a la base de clientes. El acceso parecía “normal” para los sistemas, porque se hacía con un usuario válido y desde la propia interfaz habitual.
El incidente se detectó el 29 de marzo de 2023, durante una revisión rutinaria de monitorización, al observar un comportamiento anómalo de VFR. Yoigo deshabilitó de inmediato esa cuenta y activó el protocolo interno de gestión de incidentes, notificando la brecha a la AEPD el 31 de marzo y ampliando la información el 28 de abril.
Qué datos de clientes quedaron expuestos
Aunque la resolución anonimiza cifras y parte del detalle, se confirma que el atacante pudo acceder a un volumen significativo de registros de clientes, consultando datos como:
- Nombre y apellidos
- Dirección postal
- Fecha de nacimiento
- Número de documento de identidad (DNI/NIF)
- Números de teléfono
- Correo electrónico
- IBAN de la cuenta bancaria asociada a la línea
La propia AEPD recoge que el riesgo inherente para los afectados se valoró como “Muy Alto”, incluyendo posibles usurpaciones de identidad, fraude económico y pérdidas significativas, especialmente por el acceso al IBAN completo sin cifrar ni anonimizar.
Yoigo informó individualmente a los afectados a partir del 31 de marzo de 2023, mediante correo electrónico y SMS, alcanzando al 99,8 % de las personas impactadas según la documentación remitida a la AEPD, aunque el número total de clientes se mantiene oculto en la resolución.
Varios reclamantes explican que, tras la brecha, comenzaron a recibir campañas de phishing mucho más sofisticadas, dirigidas específicamente a su banco y con datos muy precisos, lo que refuerza la gravedad del incidente desde el punto de vista práctico, más allá del plano teórico del riesgo.
La multa: 4 millones por falta de integridad y seguridad
La AEPD concluye que Xfera vulneró:
- El principio de integridad y confidencialidad del artículo 5.1.f del RGPD, al no garantizar una protección adecuada frente al acceso no autorizado.
- Las obligaciones de seguridad del tratamiento del artículo 32 del RGPD, al no implementar medidas técnicas y organizativas suficientes en relación con el riesgo real de la operación (tanto en el plano preventivo como en el de control de cambios).
Por ello impone dos sanciones que suman 4 millones de euros: 2,5 millones por el incumplimiento del principio de integridad/confidencialidad y 1,5 millones por la falta de medidas de seguridad adecuadas.
Entre los elementos que la AEPD valora de forma especialmente negativa están:
- La ausencia de controles específicos para evitar que un cambio en DNS desactivara de facto el 2FA de una aplicación tan crítica como VFR.
- El hecho de que la desactivación del 2FA se prolongara durante semanas sin ser detectada.
- Que el IBAN estuviera accesible de forma íntegra y sin cifrado, sin que se justificara la necesidad de mostrar todos los dígitos a los agentes.
La AEPD reconoce las medidas reactivas desplegadas tras el incidente (mejora de monitorización, cambios en la gestión de DNS, retirada del IBAN como dato de autenticación, etc.), pero recalca que llegaron tarde y no pueden compensar la falta de medidas preventivas adecuadas.
Un cambio de DNS que desarma el 2FA: lección para todo el sector
El caso de Yoigo es un ejemplo claro de cómo un sistema puede parecer robusto en el papel —cifrado, proxy de autenticación, doble factor, procedimientos de gestión de incidentes— y, sin embargo, quedar expuesto por un punto ciego en la gestión de cambios.
La resolución describe cómo un único ajuste técnico el 21 de febrero de 2023, aplicando una configuración DNS antigua, bastó para que el tráfico dejara de pasar por el Identity-Aware Proxy, desactivando en la práctica el 2FA para VFR durante más de un mes.
Tras la brecha, Xfera ha tenido que introducir:
- Doble validación obligatoria para cualquier cambio en la configuración DNS, con aprobación por dos personas distintas.
- Nuevas reglas de monitorización y casos de uso en el SIEM para detectar patrones anómalos de consultas en VFR.
- La eliminación del IBAN como dato de autenticación y la revisión de los datos visibles para el personal de tiendas.
La AEPD insiste en que el problema no es solo “falló el 2FA”, sino que no se evaluó correctamente el riesgo asociado a la infraestructura que soporta el 2FA (DNS, proxy, rutas internas), ni se establecieron salvaguardas para garantizar que un error de configuración no tumbara una medida de seguridad clave sin que nadie lo detectara.
Qué dice Yoigo y qué pueden hacer los clientes
En sus alegaciones, Xfera defiende que el ataque fue “excepcional” y que contaba con cifrado en tránsito (HTTPS) y cifrado en la base de datos, además de 2FA, y que el incidente se originó en el robo de credenciales de un usuario legítimo unido a un fallo puntual en DNS.
También subraya que activó con rapidez el protocolo de incidentes, notificó a la AEPD en plazo, avisó a los clientes y puso en marcha sistemas de vigilancia digital en la deep web para localizar posibles ventas de los datos robados, sin evidencias hasta la fecha de publicación de la resolución de que esta información se haya puesto a la venta.
Para los clientes afectados, la lección es clara:
- Vigilar de cerca los movimientos bancarios y configurar alertas en la entidad financiera.
- Desconfiar de correos, SMS o llamadas que usen datos reales (banco correcto, DNI, nombre completo) para dar una falsa sensación de legitimidad.
- Revisar periódicamente sus datos de contacto y métodos de pago en la operadora y en otros servicios.
Para las empresas, el mensaje de la AEPD es todavía más contundente: no basta con tener 2FA y un procedimiento bonito en un PDF. La seguridad real se juega en detalles como cómo se gestionan los DNS, quién revisa los cambios, qué se monitoriza y qué datos se enseñan —y cómo— a los empleados que atienden al público.
vía: bandaancha y AEPD
