En noviembre de 2022 algunos clientes de Orange y sus marcas recibieron un comunicado para advertirles que uno de sus proveedores había sufrido una fuga de datos en la que se habían filtrado sus datos personales. La operadora pedía a sus clientes extremar las precauciones ante el riesgo de que la información sea empleada para cometer fraude, ya que los datos incluían nombre y apellidos, DNI, domicilio, email y el IBAN del número de cuenta. Desde el INCIBE recomendaban1 revisar los movimiento bancarios y dar aviso a la policía en caso de encontrar cargos sospechosos.
Casi 2 años y medio después, la Agencia Española de Protección de Datos (AEPD) ha resuelto el expediente2 que abrió a Orange por este caso, donde aporta algunos datos adicionales que es interesante conocer, dada la escasa información que las empresas facilitan en sus comunicados cuando hay incidentes de este tipo.
La AEPD intervino de oficio tras la notificación obligatoria que recibió de Orange y la reclamación de un cliente de Jazztel que recibió el correo de aviso y quería más información.
Datos de clientes con terminal financiado impagado
No fue Orange el que sufrió la brecha de seguridad, sino uno de sus proveedores, Marktel. Durante dos años esta empresa estuvo a cargo de gestionar desde su call center el seguimiento de las deudas de clientes que habían financiado un terminal dentro de su contrato de telecomunicaciones, pero que no habían completado el pago de las mensualidades. Para ello tenía acceso a la información procedente de la filial financiera Orange Bank. El contrato le obligaba a almacenarlos ofuscados, pero en el momento del ataque solo la mitad lo estaban.
Tan pronto como Orange Bank S.A. Sucursal en España fue consciente de que el dato del IBAN se conservaba en los sistemas de Marktel sin ofuscar, inició los trámites para conseguir que se mitigara el riesgo que generaba la conservación del dato completo, lo que terminó consumiendo un año entero de desarrollo e implementación, pero a partir de noviembre de 2022, los IBAN se alojaron en los sistemas protegidos mediante la ofuscación. Estas previsiones dieron lugar a que la mitad de los datos de Orange Bank S.A. Sucursal en España que sufrieron las consecuencias de la brecha de seguridad estuvieran protegidos por esta previsión.
Marktel sufrió un ataque de ransomware en el que los datos que almacenaba en sus sistemas, procedentes de Orange como de otras empresas con las que colaboraba, quedaron cifrados, a la espera del pago de un rescate.
Aunque en un primer momento la AEPD propuso una sanción de 1,5 millones de €, Orange ha conseguido que se rebaje a 200.000 € al alegar falta de proporcionalidad por ser un banco "pequeño".
