La Agencia Española de Protección de Datos (AEPD) ha multado a la compañía XFERA —empresa que prestaba servicios de telefonía bajo el nombre de Yoigo— con 4.000.000 de euros a raíz de una brecha de seguridad que dejó expuestos datos sensibles de un número determinado de personas, según su resolución sancionadora nº EXP202307113.
Los datos personales filtrados incluían el nombre y apellidos, la fecha de nacimiento, el número de NIF, el correo electrónico, los números de teléfono, el IBAN de la cuenta asociada y la dirección física.
La AEPD concluye que la conducta de XFERA, como gran empresa con continuo manejo de datos personales a gran escala, debía cumplir con una diligencia mayor, y que la brecha afectando a datos personales de clientes pone de manifiesto que las medidas técnicas y organizativas adoptadas no eran apropiadas para garantizar la confidencialidad e integridad adecuada de los datos.
Un fallo en el «proxy» abrió la puerta a la brecha de seguridad
El origen del problema estuvo en un fallo de Vista4Retail (VRF), el «software» que utilizaba la operadora en las tiendas físicas y que permitía la visualización de de ciertos datos, tanto identificativos, como de contacto, información de los servicios contratados por sus clientes y el IBAN.
En marzo de 2023 un fallo en el DNS (Sistema de Nombres de Dominio en español), que se refiere las aplicaciones para gestionar y ejecutar el DNS para traducir los nombres de dominio en direcciones IP, provocó que se pudiera acceder al VRF por fuera del servidor intermediario que actuaba como puerta de enlace entre los dispositivos e Internet.
Este fallo dejó expuesto el sistema a su acceso sin el doble factor de autenticación durante al menos dicho mes, lo que permitía a cualquier persona acceder al sistema sin ninguna barrera. Y así sucedió: un tercero ajeno consiguió los datos de acceso de un trabajador e intentó acceder a los datos a través de consultas.
Según la resolución, estas consultas irregulares se realizaron empleando las claves de un perfil autorizado: «las consultas irregulares provenían de una única cuenta, que se correspondía con un usuario autorizado, debidamente autenticado con credenciales válidas, por lo que afirma que la herramienta gestionó las peticiones de forma ordinaria, sin generar ninguna alerta o detectarse ninguna incidencia de funcionamiento».
El 29 de marzo XFERA detectó un comportamiento anómalo y procedió a desactivarlo. Dos días después reportó a la AEPD que su empresa había sufrido una violación de la seguridad que afectaba a datos personales.
No sería hasta principios de abril cuando la operadora informó a sus clientes la brecha de seguridad que había sufrido la compañía. Algunos usuarios reportaron a la AEPD la afectación de sus datos personales e incluso que habían recibido correos «phising» y comunicaciones suplantando a la operadora.
La AEPD rechaza la defensa de XFERA y le sanciona con 4 millones de euros
Los datos personales filtrados incluían el nombre y apellidos, la fecha de nacimiento, el número de NIF, el correo electrónico, los números de teléfono, el IBAN de la cuenta asociada y la dirección física.
Según la resolución, todos estos datos no estaban cifrados, anonimizados o protegidos de forma inteligible, lo que provocó que XFERA valorará el riesgo repercutido por la brecha como muy alto.
XFERA se defendió alegando que fue víctima de un delito criminal y que las medidas correctivas implementadas tras el incidente demostraban su diligencia. Por lo que solicitó la suspensión del procedimiento administrativo por la existencia una investigación penal en curso.
Sin embargo, la AEPD desestimó la solicitud de la empresa de suspender el proceso por prejudicialidad penal, argumentando que las responsabilidades administrativas y penales persiguen intereses jurídicos distintos
Por todos estos hechos, la AEPD resolvió sancionar a XFERA por la doble infracción del Reglamento General de Protección de Datos. Por un lado, una multa de 2.500.000 de euros por la vulneración de su artículo 5.1.f., sobre el principio de confidencialidad e integridad de los datos. Y por otro, una infracción del artículo 32, por la falta de medidas de seguridad técnicas y organizativas, obligatorias para las empresas, cifrada en 1.500.000 de euros. La multa total asciende a 4 millones de euros.
La compañía alegó que esta doble sanción vulneraba el principio ‘non bis in indem’, ya que ambas infracciones, según su criterio, buscan sancionar la misma conducta: la insuficiencia de medidas de seguridad que llevó a la pérdida de confidencialidad.
Este argumento también fue rechazado, ya que según la resolución «la infracción del art. 5.1.f) del RGPD se concreta en una clara pérdida de confidencialidad, mientras que la infracción del art. 32 del RGPD se reduce a la deficiencia de las medidas de seguridad (solo de seguridad) detectadas, presentes independientemente de la brecha de datos personales».
El organismo justifica la sanción en que «la naturaleza de dicha actividad —la de prestación de servicios de telefonía móvil— exigía una mayor rigurosidad en la adopción de las medidas de seguridad, exigencia que no fue materializada en el caso que nos ocupa».
