El Consejo General del Poder Judicial (CGPJ) desvela a través de una nota de prensa publicada en su sitio web1, que la Comisión Nacional de los Mercados y la Competencia (CNMC) ha sufrido un "ciberataque masivo" en el que se han filtrado millones de registros de datos sensibles con información personal de los usuarios de telefonía móvil.
La investigación del incidente la ha asumido la juez de la Audiencia Nacional, María Tardón, tras haberse inhibido el Juzgado de Instrucción número 27 de Madrid, al entender que dada la dimensión del caso, se trata de un delito de ataques informáticos y contra la seguridad nacional.
El Ministerio Fiscal entendía que el caso no era responsabilidad de la Audiencia Nacional, al considerar que la CNMC no es una institución del estado, sin embargo, la juez Tardón considera que el regulador de las telecos sí es un "alto organismo de la nación".
Nos encontramos ante un ciberataque masivo contra una entidad que, por su incardinación en la estructura del Estado y su esencial función en los términos indicados, supone una grave e indudable afectación institucional, en un ámbito tan particularmente sensible y relevante para su normal funcionamiento como el del control del correcto funcionamiento, la transparencia y la existencia de una competencia efectiva en todos los mercados y sectores productivos, en beneficio de los consumidores y usuarios.
Qué datos se han filtrado
Según la información facilitada por el CGPJ en su nota, los datos filtrados consisten en 2.000 millones de registros que ocupan un total de 240 GB, conteniendo la información personal de los titulares de líneas telefónicas móviles en España.
La cifra facilitada por el CGPJ es muy superior al número total de líneas móviles activas en España, que ascendía a unos 59,6 millones a finales de 2023.
La CNMC tiene acceso directo a la base de datos del nodo central de la Asociación de Operadores para la Portabilidad Móvil, donde las operadoras de telecomunicaciones con numeración asignada intercambian las líneas de los usuarios que deciden cambiar de compañía. Este acceso le permite ofrecer un servicio de consulta donde los visitantes pueden introducir un número de móvil para saber a qué operador pertenece, sin embargo, esta web no facilita abiertamente datos personales sobre su titular.
Otra fuente de datos de abonados custodiada por la CNMC es el Sistema de Gestión de Datos de Abonado (SGDA), un archivo centralizado que las operadoras mantienen actualizado con los números asignados a sus clientes y que es utilizado por las las guías telefónicas, servicios de consulta telefónica 118XX sobre números de abonado, el 112 y la interceptación legal.
La CNMC mantiene silencio
Desde la CNMC han mantenido silencio por razones de confidencialidad al haber una investigación penal en curso, aunque confirman la existencia del incidente
La Audiencia Nacional ha asumido las labores de investigación del ataque sufrido por el sistema informático de la CNMC. Teniendo en cuenta el carácter estratégico de la institución, la labor que está desarrollando el juez instructor y el carácter confidencial de la instrucción penal, no podemos ofrecer ningún tipo de información al respecto