Marcos Merino
EditorLa confianza en la privacidad digital ha recibido un duro golpe tras revelarse que la Lista Robinson, un servicio utilizado por millones de españoles con el fin de evitar el acoso publicitario, podría haber sido víctima de un ciberataque masivo: distintos foros de hacking sostienen desde hace horas de hoy que una base de datos con más de 600.000 registros personales de usuarios de dicha lista se encuentra actualmente a la venta en la 'red oscura'.
Aunque la Asociación Española de la Economía Digital (ADigital) —la entidad gestora del servicio— niega que se haya producido ninguna intrusión en sus sistemas, la filtración ya ha encendido las alarmas entre los expertos en ciberseguridad y los usuarios afectados.
¿Qué es la Lista Robinson y por qué es relevante?
La Lista Robinson es un registro gratuito que permite a los ciudadanos inscribirse para no recibir publicidad no deseada. Desde llamadas telefónicas hasta correos electrónicos y mensajes SMS, las empresas tienen la obligación de excluir de sus campañas a quienes figuran en esta lista, siempre que no tengan una relación contractual previa con ellos.
El servicio, que lleva más de 15 años en funcionamiento, cuenta actualmente con más de cinco millones de usuarios registrados en España.
El presunto hackeo: ¿qué ha ocurrido?
"Precio negociable", advierten en los foros de la Dark Web que ofrecen las 'muestras de datos' (censuradas en esta captura)
El pasado 7 de abril comenzaron a circular mensajes en redes sociales y foros como BreachForum, donde se anunciaba la venta de una base de datos con más de 600.000 registros procedentes supuestamente de la Lista Robinson. Según las publicaciones, esta base incluiría información altamente sensible:
- Nombre completo
- DNI/NIF
- Dirección postal
- Número de teléfono
- Correo electrónico
- Fecha de nacimiento
- Género
Una muestra de los datos filtrados se ha publicado como prueba, lo que ha aumentado la credibilidad de la amenaza entre la comunidad de ciberseguridad.
¿Filtración real? ADigital lo niega
Aunque existan pruebas parciales, la veracidad total de la filtración aún no ha sido verificada. Podría tratarse de una estrategia de ingeniería social para sembrar el pánico o desprestigiar el servicio, pero también cabe la posibilidad de que la filtración sea real, pero los datos hayan sido recopilados de fuentes externas, sin comprometer directamente los servidores de la Lista Robinson.
Ante la magnitud de la noticia, los compañeros de Xataka Móvil han contactado con ADigital, que respondió asegurando que no han detectado ninguna brecha en sus sistemas.
(Actualización: 09/04): Horas más tarde, ADigital amplió sus declaraciones anteriores en un comunicado:
En relación con la información que se está publicando sobre el falso hackeo a la Lista Robinson, como trasladamos ayer, desde Adigital podemos asegurar que en ningún momento se ha producido ningún tipo de acceso no autorizado ni hackeo a los sistemas de Lista Robinson. La Lista Robinson no ha sido vulnerada.
Desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), la Lista Robinson opera bajo un sistema altamente seguro de doble ciego, que emplea técnicas de pseudonimización y mediante el cual ninguna empresa tiene acceso a los datos de los ciudadanos inscritos en la lista de exclusión. Desde Adigital, como entidad responsable del Servicio de Lista Robinson, tampoco tenemos acceso a los datos de las empresas.
Respecto al archivo filtrado, con los análisis que estamos realizando en base a la información publicada del fichero, hemos confirmado que se trata de una base de datos que corresponde a una tercera empresa y con una antigüedad mínima de 7 años.
Seguimos analizando la información disponible, pero en todo caso, reiteramos que la filtración no se habría producido desde Lista Robinson.
A pesar de no tratarse de una brecha de seguridad en nuestro sistema, hemos comunicado en el día de ayer los hechos a la Agencia Española de Protección de Datos y al INCIBE poniéndonos a su disposición para colaborar en la investigación de los hechos.
De igual forma, consideramos que la prioridad debe ser minimizar los perjuicios para los afectados, perseguir esta actividad delictiva y seguir concienciando sobre la importancia de la ciberseguridad en las empresas.
"Hemos revisado detenidamente la información disponible con nuestro equipo técnico y legal y podemos concluir con total seguridad que no se ha producido ningún hackeo o acceso ilícito a nuestros sistemas".
Consecuencias y riesgos
Una filtración de esta naturaleza no solo pondría en juego la privacidad de los afectados, sino que abriría la puerta a múltiples amenazas, entre ellas:
- Phishing personalizado: Los atacantes pueden usar los datos filtrados para crear mensajes fraudulentos más creíbles.
- Suplantación de identidad: Con información como DNI y dirección postal, los ciberdelincuentes podrían intentar abrir cuentas bancarias o contratar servicios en nombre de las víctimas.
- Incremento del spam y fraudes telefónicos: Irónicamente, quienes se apuntaron para evitar llamadas comerciales podrían volver a ser blanco de ellas.
¿Qué hacer si estás inscrito en la Lista Robinson?
- Permanece atento a mensajes sospechosos por email, SMS o teléfono.
- Cambia contraseñas si usaste el mismo correo para servicios sensibles.
- Consulta con la AEPD en caso de notar usos indebidos de tus datos.
Imagen | Marcos Merino mediante IA
Ver 2 comentarios