La red de The Phone House sufrió en 2021 una brecha de datos personales que afectaron a sus tres millones de clientes. La compañía lo notificó a la Agencia española de protección de Datos (AEPD) que, tres años después, ha hecho pública este martes la sanción que va a tener que hacer frente TPH por dos infracciones graves que asciende a un total de 6,5 millones de euros.
Esa cantidad resulta de la suma de dos sanciones, una por valor de cuatro millones de euros, por una infracción del artículo 5.1.f del Reglamento General de Protección de Datos (RGPD), y otra por valor de 2.500.000 euros por también incumplir el artículo 32 del mismo reglamento.
En el primer caso se trata del aspecto de la ley que se refiere a los «principios relativos al tratamiento de los datos» y que establece que estos deben ser «tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas (‘integridad y confidencialidad’)».
los cibercriminales se habían hecho con un total de 100GB de información personal no solo de sus clientes, sino también de empleados, de proveedores y de clientes que ya no lo era, pero mantenían archivados sus datos.
En el segundo caso se refiere a la parte de la ley que establece los criterios de «seguridad del tratamiento de los datos«, por la que «el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo»
La Ley continúa que las medidas deben asegurar; «a) la seudonimización y el cifrado de datos personales; b) la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; c) la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico, y d) un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento».
El ataque sufrido por The Phone House y sus consecuencias, tras ser analizado por la consultora de ciberseguridad SIS (Indra) determinó que estos preceptos no se habían cumplido por parte de la compañía.
THE PHONE HOUSE: 13 MILLONES DE DATOS PERSONALES
The Phone House sufrió en marzo de 2021 un ataque del ransomware Babuk, que en aquél año estaba muy activo, y consiguió secuestrar el contenido de los ordenadores de la compañía de tiendas de telefonía. Para ello cifró los archivos, se los llevó a servidores externos y extorsionó a la empresa pidiéndole una cantidad de dinero que no ha trascendido hasta el momento.
Los ciberdelincuentes advertían de que su intención era la de publicar en la Dark Web la totalidad de 10 bases de datos de Oracle, y también de enviar toda la información con la que contaban a los competidores de la cadena de tiendas. No era poca cosa, ya que en total, tal y como recoge la resolución de la AEPD, los cibercriminales se habían hecho con un total de 100GB de información personal no solo de sus clientes, sino también de empleados, de proveedores y de clientes que ya no lo era, pero mantenían archivados sus datos.
En total, según la agencia se trataba de un número «inmenso de personas afectadas, y un montante de 134 millones de registros secuestrados. En el caso de los clientes, los datos a los que los criminales tuvieron acceso recogían el nombre, los apellidos, la nacionalidad, el sexo, el DNI, la fecha de nacimiento, la dirección física, la de correo electrónico y el número de móvil. También aparecía los datos de los productos contratados, con qué compañías, de seguros, fibra, línea móvil y dispositivos comprados. de estos, se incluía hasta el IMEI del smarphone.
Con tres o cuatro de esos datos, los ciberdelincuentes pueden acceder a realizar con facilidad compras, acceso a cuentas bancarias, a créditos, y a un sinfín de posibilidades y técnicas de robos, estafas y fraudes. De hecho, además de la denuncia, mediante los cauces oficiales establecidos para ello, que la propia compañía realizó ante la AEPD, hubo al menos 211 clientes de The Phone House que igualmente denunciaron la misma filtración de sus datos personales ante el organismo regulador.
El proveedor de servicios de conectividad no atendió a las exigencias de los cibercriminales y unos días después del ataque el blog de Babuk no tuvo piedad y expuso todos los datos en la red oscura de internet, para que cualquier desaprensivo pudiera utilizarlos para delinquir. Los ciberatacantes accedieron con facilidad desde Ips que se situaron en países como MOldavia y Bulgaria, o desde los nodos de la red TOR, que se caracteriza por anonimizar los recorridos de internet y las IPs desde la que se navega.
Todo esto ha supuesto una acumulación de infracciones, recurridas punto por punto por la empresa sancionada. Por un lado la falta de anonimización de los datos, la mala política de contraseñas para el acceso del administrador, que carecía de seguridad adecuada, como la doble autenticación y cortafuegos mal configurados. Según la agencia sancionadora, TPH es una gran empresa que maneja ingentes cantidades de datos de sus trabajadores y clientes , que realizaba perfilados con los mismos y que no tuvo la diligencia devida para matenerlos seguros y a salvo de los riesgos de ciberseguridad que su actividad afronta.
La AEPD ha decidido desestimar el exhaustivo recurso de reposición interpuesto por la empresa contra la resolución dictada el pasado 27 de diciembre de 2023, y tras su notificación, The Phone House tiene un plazo voluntario de 20 días para abonar la cuantía de la multa, aunque todavía cabe la posibilidad de que la empresa presente un recurso Contencioso Administrativo.
Las alegaciones presentadas has sido desestimadas y definitivamente la agencia determina la clara negligencia de la compañía a la hora de anonimizar los datos y tenerlos a salvo mediante las medidas tecnológicas adecuadas. Así, en la resolución se indica que
