La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1,3 millones de euros a Telefónica de España tras una investigación sobre un incidente de seguridad que comprometió información confidencial de más de 1,4 millones de clientes de sus marcas Movistar y O2. Esta brecha, ocurrida entre el 9 y el 20 de septiembre de 2022, permitió a los atacantes acceder a configuraciones internas de routers y otros datos técnicos.
Detalles del incidente
El ataque se originó a través del portal interno de empleados de Telefónica, conocido como eDomus, que era accesible desde internet y carecía de medidas básicas de seguridad como la autenticación de doble factor. Mediante un sofisticado sistema de phishing dirigido a empleados, los ciberdelincuentes obtuvieron credenciales legítimas que utilizaron para automatizar consultas masivas a través de las API del portal. Esto permitió a los atacantes extraer datos relacionados con configuraciones de equipos de cliente, contraseñas de redes Wi-Fi y otros detalles técnicos.
Según el expediente de la AEPD, los accesos ilícitos no fueron detectados hasta el 20 de septiembre de 2022, a pesar de que el ataque comenzó el día 9 del mismo mes. Durante este periodo, los atacantes recopilaron información de más de 1,6 millones de líneas, afectando a 1.407.257 personas físicas.
Medidas adoptadas por Telefónica
Telefónica asegura haber bloqueado al usuario comprometido en el momento de la detección, pero reconoce que la sofisticación del ataque dificultó su identificación temprana. Posteriormente, la empresa notificó a los clientes afectados e implementó medidas correctivas, como el refuerzo de su infraestructura de seguridad y la actualización de contraseñas Wi-Fi.
Además, la compañía argumentó que los datos expuestos no permitían identificar directamente a los clientes, ya que se trataba de información técnica no vinculada a datos sensibles como direcciones o números de identificación personal.
Multa de la AEPD
La AEPD consideró que Telefónica incumplió las disposiciones del Reglamento General de Protección de Datos (RGPD), específicamente los artículos 5.1.f) y 32, relativos a la seguridad de los datos personales. En su resolución, la agencia destacó que la operadora no implementó «medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo».
Por estos motivos, la AEPD impuso dos sanciones económicas: 500.000 euros por la falta de seguridad en el tratamiento de datos personales y 800.000 euros por la insuficiente protección de los sistemas que procesan estos datos.
Declaraciones y contexto
Telefónica, que se ha personado como acusación particular en la investigación judicial del caso, sostiene que el ataque fue realizado por un grupo altamente especializado que empleó técnicas avanzadas de ingeniería social. En este sentido, la compañía señaló que otros organismos e instituciones, como el Punto Neutro Judicial, también fueron blanco de ataques similares en las mismas fechas.
«Telefónica ha colaborado plenamente con las autoridades y ha implementado medidas para evitar que incidentes como este se repitan en el futuro», declaró un portavoz de la empresa.
Impacto y lecciones aprendidas
El caso pone de relieve la importancia de robustecer las medidas de ciberseguridad, especialmente en sistemas que manejan datos sensibles. La AEPD subraya que, ante el aumento de ataques cibernéticos, las organizaciones deben priorizar la implementación de controles preventivos como la autenticación de doble factor y la monitorización activa de sistemas.
Con esta resolución, la AEPD busca enviar un mensaje claro sobre la responsabilidad de las empresas en la protección de los datos personales de sus clientes.
Referencias: Banda Ancha, Teléfonos y Agencia Protección Datos.
