Iván Linares
Editor SeniorLa Agencia Española de Protección de Datos (AEPD) ha emitido una resolución por la que multa a Yoigo por cuatro millones de euros. Todo debido a una filtración de datos que se produjo en 2023: un fallo técnico permitió el acceso a las bases de datos de los clientes. Con el agravante de que Yoigo guardaba dichos datos «en claro y sin cifrar».
El problema. Según conocimos en abril de 2023, el operador sufrió un ataque aprovechando una vulnerabilidad de su sistema de gestión de clientes. Dicho sistema, denominado «Vista4Retail», permitía la entrada de usuarios, la baja y su modificación por parte de las tiendas asociadas a Yoigo. Un atacante logró hacerse con las contraseñas de acceso.
Gracias a las claves, obtenidas a partir de un usuario auténtico de «Vista4Retail», el atacante logró extraer información privada de las bases de datos. La casualidad quiso que el sistema de doble autenticación estuviese desactivado y, además, que todos los datos personales se almacenasen sin cifrar ni ocultar parcialmente dentro de la plataforma de Yoigo.
Nombre, DNI, datos bancarios... Los datos personales que el atacante logró extraer de Yoigo abarcaban la mayor parte de la información personal referente a los pagos. Incluido el IBAN bancario, imprescindible para las domiciliaciones. Según determinó el operador, el alcance de la brecha habría sido de 1,7 millones de clientes.
Según la explicación técnica del incidente recogida en el expediente de la AEPD:
La causa de la brecha no puede atribuirse a una deficiencia en las medidas preventivas en sí mismas, sino a una operación técnica aislada, puntual y única que tuvo lugar el 21 de febrero de 2023. Durante ese día, un empleado de XFERA aplicó una configuración desactualizada del sistema DNS, lo que provocó que temporalmente no fuese obligado acceder a VRF a través del proxy de autenticación que gestionaba el doble factor de autenticación.
Esta circunstancia permitió que, durante el período entre el 21 de febrero y el 29 de marzo de 2023, fuesen posibles las consultas a los datos únicamente con usuario y contraseña, sin requerir el segundo factor de autenticación
Tras el suceso, Yoigo asegura que implantó medidas de vigilancia digital para comprobar si los datos obtenidos pasaban a venderse en foros de hacking. La conclusión fue negativa, siempre según el operador.
Dos multas. Tras la denuncia de ocho clientes ante la AEPD, la Agencia dictamina que Yoigo debe abonar dos multas derivadas de los fallos de privacidad. En concreto:
- 2,5 millones de euros. Por infracción del artículo 5.1.f) del RGPD. La Agencia considera la filtración como muy grave debido al volumen masivo de afectados y a la pérdida de control sobre los datos obtenidos.
- 1,5 millones de euros. Por infracción del artículo 32 del RGPD. Considerada grave por la falta de medidas técnicas adecuadas, sobre todo por no tener los datos bancarios cifrados. También por no detectar a tiempo el fallo de la doble autenticación.
El recurso está en marcha. Como nos ha confirmado Masorange, y anticipaba Banda Ancha, el recurso a la multa ya está presentado ante la Agencia Española de Protección de Datos. El proceso seguramente se alargue durante varios meses.
Imagen de portada | Iván Linares
En Xataka Móvil | Creíamos que la ley acabaría con el spam telefónico. La OCU confirma que la realidad es muy distinta
Ver 0 comentarios