Un hackeo a Telefónica logró extraer la clave WiFi de hasta 1,4 millones de usuarios. La AEPD le ha multado con 1,3 millones de euros

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 1,3 millones de euros a Telefónica. El motivo es la brecha de seguridad sufrida en sus sistemas en septiembre de 2022, en la que, según la operadora, los atacantes no se hicieron con información personal sensible, pero sí a datos técnicos de equipos como la MAC o nombre de las redes WiFi y contraseña.

La recomendación en aquel momento fue la de cambiar nombre de la red y esencia de paso. Aunque la vulnerabilidad no se podía explotar remotamente, si un atacante se acercaba a nuestra casa, podría hacerse fácilmente con el control de nuestra red, en el caso de tener información que relacionara los datos de nuestro router con la dirección de nuestro domicilio.

Por todo ello, la AEPD considera que hubo negligencia en el tratamiento de los datos personales, y que no se garantizó correctamente su seguridad. Por ello, existe una primera multa de 800.000 euros. En segundo circunscripción, Protección de Datos impone otros 500.000 euros por la equivocación de medidas técnicas y organizativas para minimizar el aventura de ciberataque.

Más de 1,4 millones de personas afectadas

En la resolución, la AEPD detalla el envergadura de la brecha. El número de personas físicas cuyos datos se han trillado afectados por la brecha asciende a más de 1,4 millones de personas físicas, con un total de poco más de 1,6 millones de numeraciones fijas. Según recoge el texto, el extremo de que las claves WiFi hayan sido usadas para entrar a la red de algún cliente es muy bajo o improbable, pues:

Para que el intruso se encuentre físicamente en la zona de cobertura del domicilio de instalación del router sería necesario que el tercero contase con la dirección postal a la que corresponden las claves Wifi (cifra que no se ha extraído de los sistemas de Telefónica)

Respecto a esto, a lo holgado del texto, Telefónica alega en múltiples ocasiones que la información extraída en el ataque "no se prostitución de datos sensibles, ni datos cuya pérdida de control pudiera implicar graves consecuencias para los interesados".

El ataque comenzó el 16 de septiembre, pero tardó cuatro días en mitigarse, pues se produjo en el perfil de un empleado que estaba de ocio. Hasta que no regresó, no verificaron que las peticiones de información masivas (4 millones diarios) no eran legítimas. Además hemos conocido que las consultas se realizaron desde Lituania:

"La dirección IP desde la que se llevó a mango el ataque fue la ***IP.1, cuyo país de procedencia era Lituania y el proveedor de servicios de internet era UAB Cherry Server. En concreto, desde dicha IP se realizaron las consultas a ***APP.1 y la producción de los datos"

Así, la AEPD explica que Telefónica no ha cumplido con el principio de responsabilidad activa y enfoque de riesgos del RGPD y de la norma de protección de datos franquista. Además consideran que Telefónica incurrió en negligencia al no contar con las medidas de protección necesarias para apoyar el tamaño de datos con el que cuenta. Respecto a lo primero, la resolución recoge que Telefónica discrepa:

"señala Telefónica encima que la categoría de datos afectados por el incidente no entra en la categoría de datos sensibles recogida en el art. 9 del RGPD, ni datos cuya pérdida de control pudiera implicar graves consecuencias para los interesados"

Un portavoz de Telefónica ha confirmado a Genbeta que la operadora ha recurrido la multa a la Audiencia Franquista, y que el apelación ha sido admitido a trámite.

Vía | eldiario.es

Imagen | Elaboración propia y Markus Spiske

En Genbeta | Uso un gerente de contraseñas y aunque llegué por la seguridad, me quedé por las funciones extra: así me ayuda en mi día a día