Movistar y O2 alertan a sus clientes de un posible hackeo y robo de datos

Es raro el mes en el que no se producen hackeos o filtraciones de datos a nivel mundial. En España, uno de los más graves de la historia lo vimos el pasado mes de abril, donde los datos personales de un cuarto de la población de España fueron expuestos en un grave hackeo a Phone House. Ahora, ha sido Movistar y O2 quienes están avisando a sus clientes de un acceso indebido a sus bases de datos.

Los usuarios de Movistar y O2 han empezado a recibir SMS y correos electrónicos provenientes de los operadores. Este tipo de mensajes suelen usarse normalmente como phishing, alertando al usuario de que tiene que entrar en un enlace concreto para acceder a su cuente o de que falta por hacer un pago. En este caso, por desgracia, se trata de mensajes SMS y correo electrónico reales.

Han conseguido acceder a datos personales

En el SMS, Movistar afirma que han detectado y bloqueado un acceso irregular a sus sistemas desde direcciones IP sospechosas. Con ese acceso, los supuestos atacantes habrían accedido a datos básicos y de identificación de los usuarios, así como datos de contacto, historial de pedidos e información sobre los productos y servicios contratados.

La compañía afirma que no hay evidencias de que esos datos hayan sido explotados. Entre los datos que no han sido explotados se encontrarían los datos de facturación, listado de llamadas, cuenta bancaria o email y contraseñas de acceso. O2 ha comunicado el fallo de seguridad directamente por correo electrónico a los clientes, y Movistar está haciendo también lo propio. En ambos se recoge la misma información.

Tanto Movistar como O2 afirman que ya han aplicado las medidas de mitigación necesarias para bloquear el acceso a la información. Por desgracia, no sabemos la cantidad de usuarios afectados, pero es probable que haya una gran cantidad de usuarios cuyos datos hayan sido accedidos. El operador ya ha puesto en conocimiento de la Agencia Española de Protección de Datos (AEPD) la filtración de datos para que investiguen. El RGPD exige que se comunique a las agencias de protección de datos este tipo de filtraciones menos de 72 horas después de conocerlas.

No se sabe cuántos usuarios hay afectados

Así, aunque no se ha detectado ningún uso indebido de los datos, no sería extraño que un grupo de hackers asumiese la autoría de este ataque. Con ello, probablemente pedirán dinero a cambio de no publicarlo, y puede que el final sea parecido si realmente han conseguido hacerse con los datos de los usuarios.

Aunque no hay datos de facturación, los datos básicos de información del usuario y de contacto suelen contar con el nombre completo, DNI, dirección física y los números de teléfono. Por cómo lo explica el operador, es de esperar que estos datos hayan sido accedidos por terceros. Por ello, habrá que esperar para ir conociendo cómo se desarrolla. Iremos actualizando conforme sepamos nueva información.

¡Sé el primero en comentar!