Desde el 9/10/2024, empresas con más de 50 trabajadores tienen 3 meses para negociar medidas LGTBI

Protección de Datos multa a Telefónica por un agujero de seguridad en sus routers

En este artículo hablamos sobre:

  • La Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica con 1,3 millones de euros por un fallo de seguridad en su portal eDomus.
  • Más de 1,4 millones de usuarios se vieron afectados, comprometiendo datos como contraseñas de WiFi, configuraciones de red y direcciones MAC.
  • La AEPD determinó que la brecha se debió a la falta de medidas de seguridad robustas, como la autenticación de doble factor.
  • Telefónica ha recurrido la sanción ante la Audiencia Nacional, aunque la AEPD insiste en su responsabilidad de proteger los datos personales.

La Agencia Española de Protección de Datos (AEPD) ha impuesto a Telefónica España una sanción de 1,3 millones de euros por una grave vulneración del Reglamento General de Protección de Datos (RGPD), derivada de un fallo de seguridad que comprometió información confidencial de más de 1,6 millones de líneas. Este incidente expuso datos sensibles, incluidas contraseñas de WiFi, configuraciones de red y direcciones MAC, y ocurrió debido a deficiencias en el portal eDomus, una plataforma utilizada para gestionar remotamente los routers de los clientes.

Detalles de la brecha y la sanción

El incidente, ocurrido en septiembre de 2022, permitió a los atacantes acceder a la infraestructura de Telefónica sin obstáculos significativos, debido a que el portal carecía de autenticación robusta y no bloqueaba conexiones potencialmente maliciosas. Según la AEPD, estas debilidades facilitaron el acceso no autorizado desde direcciones de Internet externas, poniendo en riesgo datos personales de 1.407.257 individuos en España.

La multa está dividida en dos sanciones:

  • 800.000 euros por la falta de medidas de seguridad adecuadas.
  • 500.000 euros por no garantizar la privacidad de los datos personales según los estándares del RGPD.

Aunque Telefónica notificó a la AEPD sobre la brecha el 26 de septiembre de 2022 y tomó medidas para solucionar el problema el 20 de ese mes, el organismo determinó que la operadora no implementó controles suficientes para prevenir el ataque.

Impacto y medidas adoptadas

Entre los datos comprometidos se encontraban:

  • Configuraciones técnicas de los routers, como puertos y nombres de red WiFi.
  • Contraseñas de WiFi asociadas a los dispositivos.
  • Direcciones MAC y detalles del fabricante de los equipos.

La AEPD destacó que el ataque podría haberse evitado si Telefónica hubiera implementado medidas como la autenticación de doble factor. Tras el incidente, la compañía pidió a los usuarios que cambiaran sus contraseñas como medida de mitigación y notificó a los afectados por correo electrónico y cartas.

Defensa y recurso ante la Audiencia Nacional

Telefónica ha recurrido la sanción ante la Audiencia Nacional, que ha admitido el caso a trámite. La operadora argumenta que los datos comprometidos no son sensibles y que su pérdida no implica consecuencias graves para los usuarios. Sin embargo, la AEPD subrayó que la responsabilidad de proteger la información recae en la empresa, que debe garantizar la seguridad de los datos personales a través de medidas preventivas adecuadas.

Este caso pone de manifiesto la importancia de la seguridad cibernética en las infraestructuras críticas y refuerza el compromiso de las autoridades con la protección de los derechos de los ciudadanos en el ámbito digital.

Más artículos sobre cumplimiento normativo

Más de 20 años cumpliendo contigo

¿Necesitas ayuda?

Te asignaremos un consultor experto para buscar una solución a tu problema en menos de 24h. ¡Escríbenos!

¡Será un placer ayudarte!

¿Necesitas asesoramiento personalizado?
¿Necesitas un presupuesto a medida?

Te ayudamos

Coméntanos tu problema para asignarte un consultor especializado y darte una solución jurídica en menos de 24hs.

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS
Responsable del tratamiento: AUDIDAT 3.0, S.L. | Dirección del responsable: Paseo de la Castellana 182, 6ª planta 28046 Madrid | Finalidad: Sus datos serán usados para poder atender sus solicitudes y prestarle nuestros servicios. Asimismo, si usted nos ha facilitado su currículum personal, sus datos personales serán utilizados para participar en nuestros procesos de selección. | Publicidad: Solo le enviaremos publicidad con su autorización previa, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Legitimación: Únicamente trataremos sus datos con su consentimiento previo, que podrá facilitarnos mediante la casilla correspondiente establecida al efecto. | Destinatarios: Con carácter general, sólo el personal de nuestra entidad que esté debidamente autorizado podrá tener conocimiento de la información que le pedimos. Así mismo comunicaremos su información a entidades ofertantes interesadas en su perfil curricular. | Derechos: Tiene derecho a saber qué información tenemos sobre usted, corregirla y eliminarla, tal y como se explica en la información adicional disponible en nuestra página web. | Información adicional: Más información en el apartado ““política de privacidad”” de nuestra página web. | Delegado de Protección: de Datos dpd@audidat.com