La Agencia Española de protección de Datos (AEPD) ha impuesto una multa de 1,3 millones de euros a Telefónica por una brecha de seguridad que permitió un ciberataque en el que se robaron los datos de más de un millón de clientes –en total 1.407.257– de sus filiales Movistar y O2, entre ellos números de teléfono o las contraseñas de sus conexiones wifi y de sus dispositivos personales.
La sanción, dictada por el regulador español el pasado 26 de septiembre, es doble: una de 800.000 euros por no garantizar la seguridad de los datos personales tratados y otra de 500.000 euros por no adoptar «medidas preventivas adecuadas» para minimizar el riesgo de una agresión informática.
La gigante español de las telecomunicaciones descubrió que tenía un agujero en sus sistemas en septiembre de 2022. El día 16 de ese mes se produjo el ciberataque en cuestión. Uno de sus trabajadores, ubicado en Lituania, había emitido 4 millones de solicitudes diarias a través de las aplicaciones internas que usan los empleados, un volumen muy superior al habitual (de 55.000 al día), «lo cual es reflejo de una clara conducta anómala y sospechosa de ser maliciosa», según reza la resolución.
Aun así, Telefónica no bloqueó ese perfil hasta cuatro días más tarde, cuando verificó que «al volver dicho usuario de vacaciones, que no era este quien realizaba de forma legítima las peticiones».
«Negligencia» de Telefónica
Aunque la compañía notificó a la AEPD dentro del plazo establecido, el regulador decidió el pasado 26 de septiembre de 2023 abrir un expediente sancionador contra Telefónica por haber infringido dos artículos del reglamento general de protección de datos (RGPD) relativos al principio de responsabilidad proactiva y a un enfoque de riesgos para evitar esas violaciones de la privacidad.
La compañía presentó un escrito alegando su «total y absoluta falta de responsabilidad» ante el ciberataque, señalando que no se expusieron «datos sensibles», sino de «datos de configuración de algunos equipos de conectividad que Telefónica pone a disposición de sus clientes», rebajando así su importancia. Sin embargo, la AEPD lo niega, señalando que el nivel de daños y perjuicios sufridos es «alto», pues supone la «pérdida total del control» de datos que pueden tener un «uso fraudulento» como la usurpación de identidad, el fraude o las pérdidas financieras.
En su resolución, la AEPD concluye que Telefónica operó con «negligencia» en su prevención de riesgos de seguridad y en el cumplimiento de la protección de datos, con el agravante de que se trata «de una empresa grande habituada al tratamiento de datos personales».
Según ha adelantado elDiario.es, Telefónica ya ha recurrido la sanción ante la Audiencia Nacional, un recurso que ha sido admitido a trámite.
