Tres años después de producirse el incidente de seguridad que comprometió el sistema de gestión remota de los equipos de cliente de Telefónica, la Agencia Española de Protección de Datos concluye su investigación con dos sanciones de 500.000 y 800.000 €.
La AEPD acusa a la operadora de negligencia a la hora de proteger el acceso a su portal del empleado eDomus, al no contar con "medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo". Este portal, actualmente cerrado, era accesible desde internet, lo que facilitó que los atacantes accediesen desde un servidor alojado el proveedor de hosting Cherry Servers de Lituania. Mediante un script y barriendo números de teléfonos fijos aleatorios, automatizaron la recopilación de datos llamando al API de la aplicación interna alojada en este portal, el cual era utilizado por personal de la operadora atender incidencias técnicas y "consultar la información necesaria para el diagnóstico y tratamiento de averías en los equipamientos de conectividad".
Los datos comprometidos, además del número de teléfono fijo, fueron la configuración de los equipos instalados, como el router, descodificador de televisión y amplificador wifi, incluyendo dirección MAC y firmware del router, configuración de puertos, direccionamiento de la red interna, nombre y contraseña de la red así como el método de cifrado.
El primer acceso se produjo el 9 de septiembre, pero no fue hasta el día 16 del mismo mes que un empleado dio la voz de alarma, al constatar que "se estaban realizando consultas masivas a través de un único usuario muy superiores a lo habitual". Aún así el ataque continuó hasta el día 20, cuando el empleado cuyos credenciales se estaban utilizando volvió de vacaciones y confirmó que no era él, por lo que se avisó al CSIRT-TE (Equipo de respuesta a incidentes de seguridad de Telefónica).
Telefónica notificó el incidente por correo electrónico y postal a los clientes afectados de su marca Movistar y su marca secundaria O2, solicitando que cambiasen la contraseña del wifi. En total, los datos comprometidos afectaron a 1.612.926 líneas y 1.407.257 personas físicas.
El hacker Alcasec señalado por el ataque a Telefónica
Para acceder al portal, los atacantes previamente obtuvieron las credenciales de varios usuarios mediante phishing enviando mensajes SMS dirigidos a "numeraciones de móviles personales de los empleados".
Telefónica señala en el expediente1 que los atacantes no son personas aisladas, sino que "tras las oportunas investigaciones policiales, se ha podido saber que se trata de ciberdelincuentes perfectamente preparados y con recursos suficientes para dedicarse a este tipo de prácticas indeseables".
Es evidente que en este caso el ataque sufrido fue ejecutado por actores avanzados, como parte de un ataque dirigido. Estos atacantes se caracterizaban por adquirir un conocimiento profundo y detallado de las operativas y las redes de las organizaciones atacadas. No estamos hablando de un atacante oportunista, sino de una operación bien diseñada y que partía de un conocimiento previo de la empresa, probablemente adquirido por otros medios no informáticos con anterioridad.
Además, señala que según el Juzgado de Instrucción que investiga el caso, el ataque a la operadora está conectado con el que sufrió en las mismas fechas el Punto Neutro Judicial, la red de telecomunicaciones que conecta los órganos judiciales con otras instituciones del Estado. Por este y otros ataques a empresas y organismos como HBO, Glovo, Mediaset, Policía Nacional, Consejo General del Poder Judicial, Bicimad o Burger King, fue detenido en abril de 2023 el joven hacker Alcasec2, al que las autoridades se refirieron como una amenaza muy grave para la Seguridad Nacional y que actualmente está pendiente de juicio.
