¿Por qué han multado a Telefónica con 1,3 millones de euros? El robo de claves WiFi de Movistar y O2 está detrás
La Agencia Española de Protección de Datos ha decidido imponer una multa de 1,3 millones de euros a Telefónica España por una infracción del artículo 32 del Reglamento general de protección de datos (RGPD). En este caso, por el robo de información confidencial de más de 1,6 millones de líneas, incluyendo datos como la clave WiFi.
La AEPD ha estudiado a fondo esta brecha de seguridad de hace tres años que permitió el robo de esta información. En la sentencia se explica detalladamente el proceso y todo lo sucedido hasta la imposición de la sanción (en realidad, dos sanciones de 800.000 y 500.000 euros). El problema surge debido a un fallo en el portal eDomus, una plataforma de gestión remota utilizada por Telefónica para administrar routers de sus clientes.
Según el organismo de protección de datos, este portal, que era accesible desde Internet, no contaba con las medidas de seguridad adecuadas. Esto permitió a los atacantes acceder sin autorización a datos confidenciales de los clientes como las claves WiFi de los routers. Por eso, la compañía pidió hace unos años el cambio de las contraseñas por parte de los usuarios, para paliar el efecto de esta brecha de seguridad.
La sentencia de la AEPD al detalle
Con fecha 26 de septiembre de 2022, Telefónica notifica a la AEPD una brecha de datos personales, señalando que empezó el 16 de ese mes y se dio por resuelta el 20. Ahí se señala que, en total, se han visto afectados los datos personales de 1.407.257 personas, todas ellas residentes en España.
El 28 de noviembre, se comunica a los afectados, enviando 89244 cartas postales y 1.313.395 correos electrónicos. El envío se realiza tanto a los clientes de Telefónica Movistar como de Telefónica O2. Entre los datos filtrados se encontraban:
- MAC y detalles del fabricante del dispositivo;
- Configuración de los puertos de la conexión asociada al teléfono fijo;
- Nombres de la red wifi y su contraseña
La AEPD señala que:
“El ataque, tal y como se produjo, podría haberse evitado, por ejemplo, si se hubiese contado con la exigencia de un doble factor de verificación para el acceso a la aplicación afectada, medida perfectamente existente y conocida, según el estado de la técnica en el momento del incidente, siendo viable y al alcance de una empresa como Telefónica”
A lo que añade:
“Ello pone de manifiesto que en el momento del incidente no se contaba con un sistema de bloqueo de conexiones potencialmente inseguras en base a, por ejemplo, país de origen (denegar, por defecto, el tráfico entrante para todos los orígenes, excepto aquellos que son necesarios para la prestación de los servicios de la entidad; orígenes maliciosos conocidos (nodos de la red TOR, direcciones IP de baja reputación o identificadas como potencialmente maliciosas, etc.)
Finalizando con la frase:
“Por tanto, no existían medidas adecuadas para impedir el acceso a la infraestructura de Telefónica desde direcciones de Internet que pudieran resultar maliciosas o, de existir, no resultaron eficaces”