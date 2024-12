La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1,3 millones de euros a Telefónica. El motivo es la brecha de seguridad sufrida en sus sistemas en septiembre de 2022, en la que, según la operadora, los atacantes no se hicieron con información personal sensible, pero sí a datos técnicos de equipos como la MAC o nombre de las redes WiFi y contraseña.

La recomendación en aquel momento fue la de cambiar nombre de la red y clave de acceso. Aunque la vulnerabilidad no se podía explotar remotamente, si un atacante se acercaba a nuestra casa, podría hacerse fácilmente con el control de nuestra red, en el caso de tener información que relacionara los datos de nuestro router con la dirección de nuestro domicilio.

Por todo ello, la AEPD considera que hubo negligencia en el tratamiento de los datos personales, y que no se garantizó correctamente su seguridad. Por ello, existe una primera multa de 800.000 euros. En segundo lugar, Protección de Datos impone otros 500.000 euros por la falta de medidas técnicas y organizativas para minimizar el riesgo de ciberataque.

Más de 1,4 millones de personas afectadas

En la resolución, la AEPD detalla el alcance de la brecha. El número de personas físicas cuyos datos se han visto afectados por la brecha asciende a más de 1,4 millones de personas físicas, con un total de poco más de 1,6 millones de numeraciones fijas. Según recoge el texto, el extremo de que las claves WiFi hayan sido usadas para acceder a la red de algún cliente es muy bajo o improbable, pues:

Para que el intruso se encuentre físicamente en la zona de cobertura del domicilio de instalación del router sería necesario que el tercero contase con la dirección postal a la que corresponden las claves Wifi (dato que no se ha extraído de los sistemas de Telefónica)

Respecto a esto, a lo largo del texto, Telefónica alega en múltiples ocasiones que la información extraída en el ataque "no se trata de datos sensibles, ni datos cuya pérdida de control pudiera implicar graves consecuencias para los interesados".

El ataque comenzó el 16 de septiembre, pero tardó cuatro días en mitigarse, pues se produjo en el perfil de un empleado que estaba de vacaciones. Hasta que no regresó, no verificaron que las peticiones de información masivas (4 millones diarios) no eran legítimas. También hemos conocido que las consultas se realizaron desde Lituania:

"La dirección IP desde la que se llevó a cabo el ataque fue la ***IP.1, cuyo país de procedencia era Lituania y el proveedor de servicios de internet era UAB Cherry Server. En concreto, desde dicha IP se realizaron las consultas a ***APP.1 y la obtención de los datos"

Así, la AEPD explica que Telefónica no ha cumplido con el principio de responsabilidad activa y enfoque de riesgos del RGPD y de la normativa de protección de datos nacional. También consideran que Telefónica incurrió en negligencia al no contar con las medidas de protección necesarias para asegurar el volumen de datos con el que cuenta. Respecto a lo primero, la resolución recoge que Telefónica discrepa:

"señala Telefónica además que la categoría de datos afectados por el incidente no entra en la categoría de datos sensibles recogida en el art. 9 del RGPD, ni datos cuya pérdida de control pudiera implicar graves consecuencias para los interesados"

Un portavoz de Telefónica ha confirmado a Genbeta que la operadora ha recurrido la multa a la Audiencia Nacional, y que el recurso ha sido admitido a trámite.

