eldiario.es
Argentina España
Buscar
Boletines
¿No encuentras algo?
Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.
La portada de mañana
Acceder
El Gobierno da por imposible pactar la acogida de menores migrantes con el PP
Borrell: “Israel es dependiente de EEUU y otros, sin ellos no podría hacer lo que hace”
Opinión - Salvar el Mediterráneo y a sus gentes. Por Neus Tomàs

Multa de 1,3 millones de euros a Telefónica por un ciberataque que afectó a más de un millón de clientes

Fachada de la sede de Telefónica, a 7 de noviembre de 2024, en Madrid (España).
Fachada de la sede de Telefónica, a 7 de noviembre de 2024, en Madrid (España). Eduardo Parra - Europa Press

Carlos del Castillo

5 de diciembre de 2024 17:43 h

2

La Agencia Española de protección de Datos (AEPD) ha multado a Telefónica con 1,3 millones de euros por un agujero de seguridad descubierto en septiembre de 2022 y que permitió que un ciberatacante se hiciera con los datos personales de más de un millón de clientes de sus filiales Movistar y O2. La brecha afectó a sus números de teléfono y a datos técnicos tanto de sus conexiones wifi como de sus dispositivos personales, incluyendo sus credenciales de acceso (usuario y contraseña).

La multa incluye una sanción de 800.000 euros por no tratar los datos personales de forma que se garantice la seguridad adecuada, sumada a otra de 500.000 por no aplicar medidas técnicas y organizativas para minimizar el riesgo ciberataque. La base de datos afectada contenía la información de unos seis millones de clientes.

El ataque se originó el 16 de septiembre de 2022, cuando un responsable de uno de los equipos de Telefónica detectó un número anómalo de peticiones de información provenientes de un trabajador a través de una de sus aplicaciones internas. Las peticiones masivas, provenientes de un único usuario ubicado en Lituania, alcanzaron los 4 millones diarios, mientras que el consumo habitual era de 55.000 solicitudes diarias.

La compañía, no obstante, no bloqueó el perfil del empleado hasta cuatro días más tarde, “tras verificarse, al volver dicho usuario de vacaciones, que no era este quien realizaba de forma legítima las peticiones”, se lee en la resolución. Telefónica inició entonces una investigación que el 23 de septiembre concluyó que todo se debía a una brecha de seguridad.

A pesar de que Telefónica notificó la brecha a la AEPD dentro del plazo legalmente establecido, la Agencia considera que la empresa no ha demostrado haber cumplido con el principio de responsabilidad proactiva y el enfoque de riesgos que exige la normativa de protección de datos. El regulador también ha rechazado la argumentación de Telefónica de que el número de teléfono fijo no es un dato personal, basándose en la normativa vigente y en la jurisprudencia del Tribunal de Justicia de la Unión Europea.

Durante el proceso de investigación, Telefónica también ha aseverado que “no se trata de datos sensibles, ni datos cuya pérdida de control pudiera implicar graves consecuencias para los interesados”. “Es decir, tan solo se trataban datos de configuración de algunos equipos de conectividad que Telefónica pone a disposición de sus clientes al introducir de forma aleatoria numeraciones de teléfono fijo”, añade en sus alegaciones.

Finalmente, la AEPD ha determinado que Telefónica así que cometió “una negligencia” grave al no implementar medidas de seguridad apropiadas, teniendo en cuenta su tamaño y el volumen de datos personales que maneja. Fuentes de la compañía han adelantado a elDiario.es que Telefónica ha recurrido la sanción ante la Audiencia Nacional y que el recurso ya ha sido admitido a trámite.

Etiquetas
elDiario.es

Periodismo a pesar de todo

Descubre nuestras apps

Necesitamos tu apoyo económico para hacer un periodismo riguroso y con valores sociales

HAZTE SOCIO, HAZTE SOCIA
stats