Yoigo, multada con 4 millones tras un robo de datos sensibles de sus clientes

La Agencia Española de Protección de Datos (AEPD) ha impuesto a Yoigo -marca integrada en el grupo MásOrange- una de las sanciones más elevadas hasta la fecha por un incidente de ciberseguridad. Según ha trascendido en la resolución publicada por el regulador, la operadora tendrá que afrontar dos multas que suman 4 millones de euros después de que una brecha en sus sistemas expusiera información personal de clientes durante más de un mes en 2023.

La intrusión, de la que los usuarios afectados fueron informados en su día mediante un aviso preventivo, permanecía a la espera de una resolución definitiva. Ahora, la AEPD detalla por primera vez ocurrió y por qué considera que Yoigo incurrió en deficiencias graves en materia de protección de datos.

ERROR DE CONFIGURACIÓN. Tal y como se desprende de la resolución publicada por la AEPD, el incidente no fue consecuencia de un ataque sofisticado, sino de una cadena de fallos humanos y técnicos. La resolución explica que los atacantes accedieron al software Vista4Retail, una herramienta que usan más de 1.000 tiendas de Yoigo y unos 11.000 empleados para gestionar altas, bajas y consultas de clientes.

Un tercero obtuvo las credenciales de un usuario legítimo -de forma no aclarada-, pero ese acceso debería haber sido imposible sin superar un sistema adicional de verificación, ya que Vista4Retail estaba detrás del Identity-Aware Proxy de Google Cloud, que solo permite acceso desde dispositivos autorizados y exige doble factor de autenticación.

Sin embargo, un empleado de Xfera (la empresa matriz de Yoigo) aplicó una configuración DNS obsoleta, lo que eliminó temporalmente las entradas que obligaban a pasar por ese proxy. El resultado: durante más de un mes, entre el 21 de febrero y el 29 de marzo de 2023, los atacantes pudieron iniciar sesión únicamente con usuario y contraseña.

DATOS EXPUESTOS. Esa ventana de acceso permitió consultar y extraer información sensible de un número no revelado de clientes. Entre los datos comprometidos se encontraban:

• Nombre y apellidos
• Fecha de nacimiento
• DNI/NIF
• Dirección física
• Teléfono móvil
• Correo electrónico
• IBAN vinculado al contrato

Aunque la compañía implantó un sistema de “vigilancia digital” para detectar si los datos robados aparecían a la venta en foros o mercados clandestinos, Yoigo asegura que no se ha encontrado rastro de la información en la deep web desde que se produjo la filtración.

LA MARCA YA HA RECURRIDO. Según publica Banda Ancha, la operadora ha recurrido las sanciones de la AEPD. Este mismo medio recuerda también que, en marzo de este mismo año, Yoigo sufrió otra brecha de seguridad, esta vez vinculada a un proveedor externo y que afectó a datos de antiguos clientes.

A pesar de estos incidentes, lo cierto es que, a nivel general, las telecos europeas han reforzado sus sistemas y han logrado reducir en un 85% el impacto de los ciberataques en solo dos años gracias a mejoras estructurales en su red digital. También ha mermado el número de incidentes cibernéticos en España, aunque su frecuencia sigue siendo elevada, según diversos informes del sector.

Fuente: AEPD