Telefónica vuelve a enfrentarse a una crisis producida por la filtración de información interna de la compañía. El foro especializado en fugas de datos BreachForums publica un hilo1 donde el usuario dna ofrece públicamente un archivo de gran tamaño que supuestamente contiene información robada de los sistemas de Telefónica.
Según la información del hilo, el archivo contiene 236.493 líneas con datos de clientes de la operadora y 469.724 líneas con información de un sistema de procesamiento de tickets internos. En total son más de 5.000 ficheros de tipo CSV, PPTX, XLSX, DOCX, DOC, PDF y MSG, ocupando un tamaño de 2,3 GB.
Telefónica parece estar trabajando activamente para frenar la difusión de esta información, ya que el enlace original ha sido borrado varias veces en diferentes servicios. El autor del hilo volvió a subir el fichero Telefonica.7z al servicio de alojamiento Pixeldrain, pero en este momento al ir a descargarlo muestra un error Unavailable for legal reasons, indicando que el contenido viola las políticas de la plataforma, lo que evidencia que alguien lo ha reportado. Antes de su eliminación, el archivo comprimido de 1,2 GB había sido descargado 116 veces.
Aún así, el hilo del foro publica dos extractos de la información en formato json. En el primero aparecen lo que parecen ser contactos tanto internos de empleados como externos de empresas proveedoras de Telefónica. En el otro fragmento se observa lo que parecen ser mensajes del sistema Jira Service Management, alojado en jira.globalsap.telefonica.com. El contenido que puede leerse hace referencia a temas relacionados con recursos humanos en México.
Cómo se produjo el incidente
La firma de ciberseguridad Hudson Rock publica2 un análisis del incidente a partir de conversaciones con Grep, Pryx y Rey, alias de los 3 miembros del ransomware Hellcat que lo han llevado a cabo.
Según su investigación, unas 15 cuentas de empleados de Telefónica fueron comprometidas al instalar software malicioso. La última infección fue el 4 de octubre de 2024. Usurpando la identidad de 2 de ellos, los atacantes se hicieron pasar por empleados para engañar a otros empleados con privilegios más elevados y conseguir así acceso SSH a otros servidores.
Los información sustraída contiene 24.000 nombres y emails de empleados, el contenido de 500.000 tickets de temas internos y unos 5.000 documentos confidenciales, con planes estratégicos y comunicaciones internas.
Telefónica confirma la brecha
Telefónica España nos ha confirmado el incidente y aseguran que trabajan para mitigar su impacto:
Hemos tenido constancia del acceso no autorizado a un sistema de ticketing interno que usamos en Telefónica. En estos momentos seguimos investigando el alcance de la afectación. Desde el primer momento se han tomado las medidas necesarias para bloquear cualquier acceso no autorizado al sistema.
El último incidente de seguridad relacionado con Telefónica que trascendió se produjo el pasado mes de mayo de 2024, con la filtración de datos de 120.000 clientes y empleados de sus filiales en Reino Unido, Estados Unidos y Argentina. Anteriormente había sufrido el robo de 1,6 millones de claves wifi de routers de clientes de Movistar y O2 en España, incidente por el que la AEPD sancionó recientemente a la operadora con 1,3 millones de euros.
