La Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica España con una multa de 1,3 millones de euros debido a una grave infracción del Reglamento General de Protección de Datos (RGPD).
El motivo de este disgusto para la compañía de telecomunicaciones radica en un robo de información confidencial que afectó a más de 1,6 millones de líneas, incluyendo datos sensibles como las contraseñas de WiFi.
La AEPD ha llevado a cabo una investigación profunda sobre esta brecha de seguridad, que ocurrió hace tres años. La multa se desglosa en dos sanciones: una de 800.000 euros y otra de 500.000 euros. El problema se originó en el portal eDomus, una plataforma utilizada por Telefónica para gestionar de forma remota los routers de sus clientes, que no contaba con las medidas de seguridad necesarias.
El organismo de protección de datos destacó que el portal era accesible desde Internet y carecía de un sistema de autenticación robusto. Esto permitió que los atacantes accedieran a información confidencial, lo que llevó a la compañía a solicitar a sus usuarios que cambiaran sus contraseñas para mitigar el impacto del incidente.
El 26 de septiembre de 2022, Telefónica notificó a la AEPD sobre la brecha, que se había iniciado el 16 de septiembre y se resolvió el 20 del mismo mes. En total, se vieron afectados datos personales de 1.407.257 individuos en España. El 28 de noviembre, la empresa comunicó a los afectados mediante el envío de cartas y correos electrónicos.
Entre los datos comprometidos se encontraban información técnica de los dispositivos, como el MAC y detalles del fabricante, así como configuraciones de puertos y nombres de redes WiFi junto con sus contraseñas. La AEPD subrayó que el ataque podría haberse evitado con medidas de seguridad más robustas, como la implementación de un doble factor de verificación.
La sentencia también indicó que en el momento del incidente, Telefónica no contaba con un sistema adecuado para bloquear conexiones potencialmente inseguras. La falta de estas medidas permitió que se produjera el acceso no autorizado a la infraestructura de la empresa desde direcciones de Internet potencialmente maliciosas.
La operadora ha recurrido la sanción ante la Audiencia Nacional
A pesar de que Telefónica aseguró que la información de sus usuarios no estaba en riesgo y que habían tomado medidas para solucionar el fallo, la AEPD ha determinado que la compañía no garantizó la seguridad de los datos personales de sus clientes. La operadora ha recurrido la sanción ante la Audiencia Nacional, que ha admitido el recurso a trámite.
Telefónica ha defendido que los datos comprometidos no son sensibles y que su pérdida no implicaría consecuencias graves para los usuarios. Sin embargo, la AEPD ha dejado claro que la responsabilidad de proteger la información recae en la empresa, que debe implementar las medidas necesarias para evitar futuros ataques.
Si (
No(
