La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 1,3 millones de euros a Telefónica por una brecha de seguridad que comprometió los datos personales de más de 1,4 millones de clientes en septiembre de 2022. La multa, dividida en dos sanciones de 500.000 y 800.000 euros respectivamente, responde a la falta de medidas de seguridad adecuadas en el portal interno de empleados, conocido como eDomus, que permitió el acceso no autorizado a datos sensibles.
Un ataque sofisticado y negligencia en la seguridad
El incidente comenzó el 9 de septiembre de 2022, cuando ciberdelincuentes accedieron al sistema eDomus mediante un ataque de phishing. Utilizando credenciales obtenidas de empleados a través de mensajes fraudulentos, los atacantes accedieron a datos de configuración de routers, como contraseñas Wi-Fi, direcciones MAC y detalles técnicos de los dispositivos instalados en los hogares de los clientes. Según la AEPD, esta información no estaba cifrada, lo que facilitó su extracción.
El ataque se prolongó hasta el 20 de septiembre de 2022, cuando un empleado alertó sobre el elevado número de consultas realizadas a través de su usuario. Sin embargo, no fue hasta el 23 de septiembre cuando el equipo de respuesta a incidentes de Telefónica confirmó que la brecha afectaba a datos personales.
Datos comprometidos y medidas tardías
Los atacantes lograron acceder a los datos de 1.407.257 personas físicas, entre ellas clientes de las marcas Movistar y O2. Además de las contraseñas Wi-Fi, los datos comprometidos incluían información técnica de los routers y configuraciones de red internas. Telefónica comunicó la brecha a los afectados el 28 de octubre de 2022, casi un mes después de la detección inicial.
La AEPD señaló que Telefónica carecía de medidas técnicas como el doble factor de autenticación en el portal eDomus, una carencia que podría haber evitado el incidente. Asimismo, criticó la demora en la comunicación del incidente a los clientes afectados y en la implementación de acciones correctivas.
Alegaciones de Telefónica
En su defensa, Telefónica argumentó que el ataque fue altamente sofisticado y que los ciberdelincuentes ya poseían información previa sobre los empleados, como sus números de teléfono personales. La compañía subrayó que el incidente formaba parte de una operación coordinada que también afectó a otras instituciones, como el Punto Neutro Judicial.
Además, Telefónica afirmó que había implementado medidas de seguridad adecuadas y que el incidente representaba un caso excepcional que superó su esfera de responsabilidad. La compañía añadió que el tipo de datos comprometidos no era suficiente para identificar directamente a los clientes, minimizando el impacto potencial para los afectados.
Conclusión de la AEPD y repercusiones
La AEPD desestimó las alegaciones de Telefónica y concluyó que la compañía no adoptó las medidas necesarias para garantizar la seguridad de los datos personales, como lo exige el Reglamento General de Protección de Datos (RGPD). La resolución establece que Telefónica deberá pagar una multa total de 1,3 millones de euros.
Este caso pone de manifiesto la importancia de implementar protocolos de seguridad robustos y reactivos para proteger los datos de los usuarios. Además, refuerza la necesidad de actuar con rapidez y transparencia en la gestión de brechas de seguridad, algo que la AEPD continuará vigilando de cerca en el sector tecnológico y más allá.
Referencias: Banda Ancha y Agencia Protección Datos.