Vodafone publica un comunicado en su web para informar sobre el robo de la base de datos de un colaborador de su red comercial, que contiene datos personales de un "grupo reducido" de clientes e interesados.

Un colaborador de Vodafone sufre un acceso no autorizado a sus sistemas

El instituto Nacional de Ciberseguridad publicaba ayer 21 de noviembre1 un aviso de nivel 4 - importancia alta, sobre el acceso no autorizado a los sistemas de un colaborador de Vodafone, en el que se han comprometido datos personales de un "número limitado" de clientes. La cuenta oficial de la Guardia Civil en X2 ha servido hoy para dar difusión a este aviso.

Los clientes afectados han recibido una notificación por SMS y correo electrónico para ponerlos sobre alerta, dado que este tipo de fugas de información son utilizadas frecuentemente para cometer fraude. Esta, junto con la notificación a la AEPD, es una obligación legal cuando se produce una brecha de seguridad.

Qué datos se han expuesto

Vodafone INFO:

Un colaborador ha sufrido un acceso no autorizado y tus datos podrían haberse visto afectados, como DNI y cuenta bancaria. En caso de que seas cliente prepago, tu cuenta bancaria no se encuentra afectada. Por tu seguridad, no accedas a sitios web no seguros, ni facilites información personal si te contactan por cualquier medio.

Más info accede a www.vodafone.es/aviso-seguridad/ o llama al teléfono gratuito 900 851 151.

En el caso de particulares y autónomos, los datos expuestos son el DNI, teléfono de contacto, correo electrónico y el número de la línea contratada. Exceptuando a los clientes de prepago, también se ha filtrado el número de cuenta bancaria, mientras que en el caso de empresas, además de la denominación social y CIF, se incluye la copia del DNI y número personal del representante de la empresa. La información no contiene contraseñas.

Vodafone advierte que estos datos pueden ser utilizados como base para campañas de phishing y pide a los clientes que reporten a las fuerzas de seguridad del estado cualquier intento. También recomienda ponerse en contacto con el banco por si "fuera necesario el bloqueo o cancelación de sus cuentas".

El comunicado de Vodafone3 incluye una pregunta que parece indicar que entre la información filtrada también habría datos de no clientes: "¿Si no soy cliente cómo es posible que Vodafone tenga toda esta información personal?". El texto explica que la base de datos filtrada contiene información de la actividad comercial "y en ese ámbito es como se habría recopilado la información".

Tanto la empresa colaboradora como la operadora han trabajado conjuntamente para "estabilizar la situación y activar las medidas de refuerzo necesarias en los sistemas informáticos". Vodafone recuerda que cuenta "con un experimentado equipo internacional de profesionales de la ciberseguridad que vigilan constantemente la red y los sistemas para garantizar la protección de los datos".

Los comunicados de filtraciones plantean más preguntas que respuestas

Aunque el comunicado reitera que el número de afectados es limitado, llama la atención que tanto Guardia Civil como el Incibe hayan servido de altavoces para difundir el aviso. También, que a pesar de haberse producido la fuga en un distribuidor comercial que colabora con la operadora, sea la misma Vodafone la que publica en su web a través de una URL dedicada el aviso sobre el incidente.

1. incibe.es/ciudadania/avisos/un-colaborad…sus-sistemas
2. twitter.com/guardiacivil/status/1727246005970898996
3. vodafone.es/c/statics/aviso-seguridad-privacidad.pdf