A The Phone House le hackearon los datos de 13 millones de usuarios. Ahora se enfrenta a una multa récord

Una de las mayores multas impuestas por la Agencia Española de Protección de Datos (AEPD) en toda su historia se está debatiendo ahora mismo en la Audiencia Doméstico. En un caso sin precedentes en España, la dependencia de tiendas de tecnología y telefonía The Phone House se juega tener que respaldar o no una puro de 6,5 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) el año pasado.

¿El motivo? La filtración y secuestro de aproximadamente 100 GB de datos personales de hasta 13 millones de clientes, ex-clientes, empleados y proveedores.

La información robada incluía datos como nombres completos, DNI, direcciones, correos electrónicos, números de teléfono, nacionalidades, fechas de arranque, datos bancarios e incluso detalles de los dispositivos y productos contratados, como seguros y códigos IMEI de teléfonos móviles.

El ciberataque: secuestro de datos y filtración masiva

El origen de la controversia remonta a abril de 2021, cuando The Phone House fue víctima de un devastador ataque de ransomware perpetrado por el comunidad Babuk, conocido en la 'deep web' por secuestrar información de empresas. Los hackers tomaron control de los sistemas de la empresa, cifrando archivos y trasladando la información a servidores externos.

Los ciberdelincuentes exigieron el cuota de un rescate no revelado para evitar la publicación de información sensible en la deep web. Tras la negativa de la compañía a ceder al chantaje, Babuk publicó la información robada, exponiendo a millones de personas a riesgos de fraude y suplantación de identidad.

Fallos de seguridad y negligencias según la AEPD

La AEPD determinó que el robo de información fue facilitado por importantes fallos en las medidas de seguridad de la empresa. Según el mensaje de la agencia, la negligencia de The Phone House en la dirección de los datos personales de sus usuarios fue un divisor determinante en la magnitud de la filtración.

Por ello, la multa de la AEPD se desglosa en dos partes:

• 3,5 millones de euros por vulnerar el artículo 5.1.f) del Reglamento Caudillo de Protección de Datos (RGPD), que exige asegurar la seguridad de los datos personales.
• 3 millones de euros por incumplir el artículo 32 del RGPD, relativo a la implementación de medidas técnicas y organizativas adecuadas para afianzar un nivel de seguridad adecuado al peligro.

Entre los puntos más críticos se señalaron:

1. Datos sin anonimización ni criptográfico: La información almacenada no estaba protegida mediante mecanismos de anonimización o criptográfico, lo cual facilitó el llegada directo a datos personales sensibles.
2. Descuido de autenticación en el llegada de administradores: La empresa no contaba con un sistema de autenticación de doble divisor para las cuentas administrativas, lo que dejó un llegada indefenso y fácilmente explotable por los atacantes.
3. Configuración inadecuada del cortafuegos: La AEPD igualmente indicó que el cortafuegos estaba configurado de guisa insuficiente, permitiendo el llegada desde IPs ubicadas en países como Bulgaria y Moldavia, así como desde redes TOR, lo que facilitó el ingreso de los hackers.

En presencia de la magnitud de los daños y el comba de datos comprometidos, la AEPD calificó de "trascendental negligencia" el comportamiento de The Phone House, considerando que, como empresa de gran envergadura, la firma debía contar con medidas de seguridad acordes a los altos riesgos inherentes a su actividad. La empresa maneja y procesa datos masivos de clientes y empleados, y encima realiza descomposición de perfilado, por lo que su responsabilidad en cuanto a la protección de datos es especialmente elevada.

Disputa en la Audiencia Doméstico

La multa de 6,5 millones de euros, una de las mayores quia impuesta por la AEPD, se encuentra ahora en disputa en la Audiencia Doméstico, donde The Phone House exploración frenar la medida a través de un solicitud contencioso-administrativo. La empresa solicitó la suspensión cautelar del cuota de la puro, argumentando que el desembolso de esta cuantiosa suma le impediría cumplir con otras obligaciones financieras y empresariales esenciales.

Encima, la compañía solicitó la confidencialidad de ciertos documentos, entre ellos un mensaje de auditoría y un certificado de acuerdo del víscera de suministro de la entidad. Sin incautación, la Audiencia denegó esta petición, considerando que no existía argumento suficiente para reservar esos documentos del exploración notorio y del abogado del Estado, y subrayando que la documentación en cuestión no contenía información especialmente sensible.

The Phone House afirma encomendar en la revocación

La compañía ha señalado en sus estados financieros que no ha realizado ninguna provisión para la puro en sus cuentas porque sus asesores legales confían en que existen bases suficientes para que el decisión sea revocado en instancias judiciales superiores. Según su interpretación, la puro podría considerarse excesiva y ser eventualmente anulada o corta, como ha ocurrido en casos recientes con otras empresas.

Gran parte de la argumentación de The Phone House frente a la AEPD giró en torno a la 'responsabilidad objetiva': la compañía sostiene que la ley no exige una "obligación de resultado" (es asegurar, que no garantiza una protección infalible contra ataques externos), sino una "obligación de medios" (que implica tomar medidas razonables para mitigar riesgos).

The Phone House asegura que cumplió con esta obligación, y cita precedentes legales donde los tribunales rechazan la responsabilidad directa de empresas víctimas de ciberataques, excepto que haya negligencia demostrable. Por otra parte, alega que el ransomware utilizado contra sus sistemas era nuevo en ese momento y, por ello, difícil de contrarrestar.

Imagen | Wikimedia + IA

En Genbeta | Un error al dirigir un PDF acabó filtrando los datos de 447 trabajadores: la AEPD ha multado a Uniqlo con 270.000 euros por su error