Yoigo deberá pagar una sanción de 4 M por la brecha que dio acceso al IBAN de sus clientes
La AEPD sanciona a la compañía por una filtración de datos de clientes en 2023 que, además de información bancaria, incluía el nombre y apellidos, NIF, números de teléfono y dirección física
:format(jpg)/f.elconfidencial.com%2Foriginal%2F318%2F5fd%2F5bb%2F3185fd5bb6594dae0237055249edfeb3.jpg)
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de cuatro millones de euros a Xfera Móviles —la sociedad que prestaba servicios bajo la marca Yoigo— por una brecha de seguridad que permitió a un tercero acceder a datos personales de miles de usuarios, incluido su IBAN bancario. MasOrange, actual propietaria del operador, ya ha recurrido la sanción.
Según el expediente consultado por El Confidencial, el incidente ocurrió en marzo de 2023, cuando un fallo interno dejó desprotegida la aplicación utilizada en tiendas y distribuidores para consultar información de los clientes. Durante casi un mes, alguien logró entrar en ese sistema usando las credenciales de un empleado legítimo, cuya identidad fue suplantada.
La AEPD explica en la resolución que "las consultas irregulares provenían de una única cuenta cuyo titular no reconoció ser autor material de las consultas", lo que llevó a Xfera a concluir que “el atacante había suplantado la identidad” de ese usuario en el sistema. Ese acceso permitió consultar datos especialmente sensibles.
Entre la información expuesta figuraban nombre y apellidos, número de teléfono, dirección física, documento de identidad y, sobre todo, el IBAN bancario de los clientes. La Agencia subraya que estos datos "no se encontraban cifrados, anonimizados o protegidos de forma ininteligible", aumentando el riesgo de fraude y suplantación de identidad.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ffd0%2F12f%2F844%2Ffd012f84475aebfbe7d6839ec7ed26eb.jpg)
Datos comprometidos
Entre el 6 y el 28 de marzo de 2023 —casi un mes completo—, la investigación revela que las consultas irregulares se realizaron empleando las credenciales válidas de un usuario autorizado, pero sin su participación. Según la resolución, "las consultas irregulares provenían de una única cuenta cuyo titular no reconoció ser autor material de las consultas", lo que llevó a Xfera a concluir que "el atacante había suplantado la identidad" de ese usuario en el sistema.
La brecha se originó durante un trabajo programado sobre los DNS corporativos que, según la resolución, "deshabilitó temporalmente el proxy que gestionaba la autenticación". Con ese componente fuera de servicio, la VFR aceptaba accesos únicamente con usuario y contraseña, sin exigir el segundo paso de verificación. Esa circunstancia abrió la puerta a que un tercero consultara datos especialmente delicados.
Varios clientes denunciaron tras la notificación de la brecha haber recibido correos de phishing y comunicaciones suplantando a la operadora, un patrón habitual cuando circulan bases de datos con información verificable.
Varios clientes denunciaron tras la notificación haber recibido correos de 'phishing' y comunicaciones suplantando a la operadora
Xfera detectó el comportamiento anómalo el 29 de marzo, desactivó la cuenta sospechosa y notificó la brecha a la AEPD el 31 de marzo. Posteriormente, amplió la información el 28 de abril, mientras comunicaba el incidente a decenas de miles de clientes. La compañía argumentó durante el procedimiento que había sido víctima de un ataque criminal y que contaba con un sistema robusto de seguridad, incluyendo análisis de riesgos, vigilancia en la deep web y certificaciones ISO.
Sin embargo, la Agencia consideró insuficientes esas garantías. En su resolución, el organismo divide la sanción en dos infracciones distintas del Reglamento General de Protección de Datos (RGPD). Por un lado, una vulneración del artículo 5.1.f), el principio de integridad y confidencialidad, castigada con 2,5 millones. Y por otro, una infracción del artículo 32, que obliga a las empresas a implantar medidas técnicas y organizativas adecuadas, valorada en 1,5 millones. En total, cuatro millones entre ambas.
La operadora trató de que ambas conductas se consideraran una sola, alegando que sancionarlas por duplicado vulneraba el principio non bis in ídem, que prohíbe sancionar dos veces por la misma infracción. Pero la AEPD rechaza esa tesis. En palabras de la propia resolución, "la infracción del artículo 5.1.f) del RGPD se concreta en una clara pérdida de confidencialidad, mientras que la infracción del artículo 32 del RGPD se reduce a la deficiencia de las medidas de seguridad".
La Agencia también reprocha a Xfera la falta de mecanismos que alertaran de accesos anómalos en horarios irregularmente amplios, así como una monitorización insuficiente del uso de la aplicación interna.
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de cuatro millones de euros a Xfera Móviles —la sociedad que prestaba servicios bajo la marca Yoigo— por una brecha de seguridad que permitió a un tercero acceder a datos personales de miles de usuarios, incluido su IBAN bancario. MasOrange, actual propietaria del operador, ya ha recurrido la sanción.