- La Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica con 1,3 millones de euros por un fallo de seguridad en su portal eDomus.
- Más de 1,4 millones de usuarios se vieron afectados, comprometiendo datos como contraseñas de WiFi, configuraciones de red y direcciones MAC.
- La AEPD determinó que la brecha se debió a la falta de medidas de seguridad robustas, como la autenticación de doble factor.
- Telefónica ha recurrido la sanción ante la Audiencia Nacional, aunque la AEPD insiste en su responsabilidad de proteger los datos personales.
La Agencia Española de Protección de Datos (AEPD) ha impuesto a Telefónica España una sanción de 1,3 millones de euros por una grave vulneración del Reglamento General de Protección de Datos (RGPD), derivada de un fallo de seguridad que comprometió información confidencial de más de 1,6 millones de líneas. Este incidente expuso datos sensibles, incluidas contraseñas de WiFi, configuraciones de red y direcciones MAC, y ocurrió debido a deficiencias en el portal eDomus, una plataforma utilizada para gestionar remotamente los routers de los clientes.
Detalles de la brecha y la sanción
El incidente, ocurrido en septiembre de 2022, permitió a los atacantes acceder a la infraestructura de Telefónica sin obstáculos significativos, debido a que el portal carecía de autenticación robusta y no bloqueaba conexiones potencialmente maliciosas. Según la AEPD, estas debilidades facilitaron el acceso no autorizado desde direcciones de Internet externas, poniendo en riesgo datos personales de 1.407.257 individuos en España.
La multa está dividida en dos sanciones:
- 800.000 euros por la falta de medidas de seguridad adecuadas.
- 500.000 euros por no garantizar la privacidad de los datos personales según los estándares del RGPD.
Aunque Telefónica notificó a la AEPD sobre la brecha el 26 de septiembre de 2022 y tomó medidas para solucionar el problema el 20 de ese mes, el organismo determinó que la operadora no implementó controles suficientes para prevenir el ataque.
Impacto y medidas adoptadas
Entre los datos comprometidos se encontraban:
- Configuraciones técnicas de los routers, como puertos y nombres de red WiFi.
- Contraseñas de WiFi asociadas a los dispositivos.
- Direcciones MAC y detalles del fabricante de los equipos.
La AEPD destacó que el ataque podría haberse evitado si Telefónica hubiera implementado medidas como la autenticación de doble factor. Tras el incidente, la compañía pidió a los usuarios que cambiaran sus contraseñas como medida de mitigación y notificó a los afectados por correo electrónico y cartas.
Defensa y recurso ante la Audiencia Nacional
Telefónica ha recurrido la sanción ante la Audiencia Nacional, que ha admitido el caso a trámite. La operadora argumenta que los datos comprometidos no son sensibles y que su pérdida no implica consecuencias graves para los usuarios. Sin embargo, la AEPD subrayó que la responsabilidad de proteger la información recae en la empresa, que debe garantizar la seguridad de los datos personales a través de medidas preventivas adecuadas.
Este caso pone de manifiesto la importancia de la seguridad cibernética en las infraestructuras críticas y refuerza el compromiso de las autoridades con la protección de los derechos de los ciudadanos en el ámbito digital.
