El propósito de las listas de exclusión publicitaria es mantener un registro de los ciudadanos que no quieren ser molestados con publicidad. A la hora de hacer sus campañas, las empresas están obligadas a consultar estas listas para asegurarse de que el usuario al que van a llamar por teléfono no figura en ellas.
Por desgracia, como cualquier base de datos con información personal, el riesgo de que se filtre la información y acabe en manos indebidas siempre existe, sobre todo en el escenario actual, en el que actores maliciosos bien organizados atacan sistemáticamente la infraestructura informática de las empresas con fines lucrativos.
Es lo que parece haber ocurrido con la propia Lista Robinson. Según se anuncia en un hilo del conocido foro de hacking BreachForums, el usuario injectioninferno ha puesto a la venta una base de datos que asegura procede de la Lista Robinson española.
El anuncio incluye una muestra de algunos registros en los que figura para cada inscrito, su DNI, nombre y apellidos, número de teléfono fijo y móvil, así como el email. En total la filtración contiene 614.197 registros, lo que indica que se trataría de una porción de la base de datos y no su contenido completo, ya que según sus gestores, la Asociación Española de Economía Digital (ADigital), Lista Robinson cuenta con más de 5 millones de inscritos.
La difusión de los datos provocaría el efecto contrario que buscan los inscritos en las listas de exclusión: no ser molestados por spam. Los que adquieren estas bases de datos en el mercado negro lo hacen para obtener datos con los que personalizar con la información real de la víctima sus ataques de phishing y otros tipos de fraude, con el fin de aumentar la efectividad al resultar más creíbles.
Hasta hace poco, Lista Robinson era el único servicio de este tipo que existía en España. Sigue siendo el más veterano gracias a sus más de 15 años de actividad y la opción favorita de los usuarios más hartos del spam, a pesar de la llegada a principios de año de su competidor, la lista Stop Publicidad.
Para las entidades que los gestionan, la Asociación Española de Economía Digital (ADigital) en el caso de Lista Robinson, es un buen negocio, puesto que las empresas están obligadas a utilizar cada una de las listas existentes, pagando en función del volumen de consultas.
ADigital niega la filtración
Desde ADigital han salido al paso de esta información para asegurar que tras el análisis de la situación no han detectado ninguna brecha de seguridad en sus sistemas, aunque se ponen a disposición de la AEPD para esclarecer los hechos:
Hemos revisado detenidamente la información disponible con nuestro equipo técnico y legal y podemos concluir con total seguridad que no se ha producido ningún hackeo o acceso ilícito a nuestros sistemas. En todo caso, estaremos atentos a la evolución y pondremos nuestro conocimiento y herramientas a disposición de la Agencia Española de Protección de Datos
