La Agencia Española de Protección de Datos (AEPD) ha sancionado a Telefónica por una brecha de seguridad que afectó a datos personales de sus clientes. La brecha se notificó el 26 de septiembre de 2022 y afectó a 1.407.257 personas. La brecha se detectó el 20 de septiembre de 2022 y se resolvió el mismo día, aunque la fecha de inicio del ataque se estableció el 9 de septiembre de 2022
El incidente se produjo en una de las aplicaciones internas del portal del empleado de Telefónica, público desde Internet, mediante credenciales de usuario y contraseña. Los atacantes realizaron consultas masivas utilizando números de teléfono fijo consecutivos, accediendo a datos personales como, entre otros, el número de teléfono, la dirección MAC, la configuración de puertos y las contraseñas de redes WiFi predeterminadas sin cifrar. Los atacantes habían obtenido de los empleados de Telefónica sus credenciales mediante técnicas sofisticadas de smishing.
La AEPD concluyó que Telefónica no contaba con medidas técnicas y organizativas adecuadas para garantizar la seguridad de los datos personales, como la falta de un sistema de doble factor de verificación, de medidas para bloquear conexiones potencialmente inseguras y de medidas de cifrado adecuadas. También se probó que Telefónica no empleaba mecanismos apropiados de detección y reacción a actividades anómalas.
Finalmente, la AEPD impuso a Telefónica una multa total de 1.300.000 euros por infringir los artículos 5.1.f) (principio de seguridad del tratamiento) y 32 (obligación de adoptar medidas de seguridad adecuadas) del Reglamento General de Protección de Datos.