Clientes y exclientes de varias marcas de móvil que trabajan con el enabler CableMóvil (propiedad de MásMóvil) para tener acceso a la cobertura móvil de la red de MásOrange, están recibiendo un comunicado que advierte sobre un acceso no autorizado a datos de clientes sufrido por un proveedor.
Los datos comprometidos son "identificativos y de contacto", sin incluir información bancaria. Clientes de Keio y Yu Telecom confirman haber recibido el correo.
Este es el texto del PDF que firmado que firma Xfera Móviles:
Información
En Xfera Móviles S.A.U, empresa que te presta o te ha prestado servicios de telefonía móvil mediante un acuerdo con tu proveedor de telecomunicaciones, consideramos la privacidad y la protección de tus datos personales como uno de nuestros pilares fundamentales. Estamos comprometidos con la seguridad de tu información y trabajamos de forma continua para reforzar nuestros sistemas, plataformas y protocolos internos.
¿Qué ha ocurrido?
Como muestra de este compromiso, te comunicamos que recientemente un proveedor externo ha sufrido un acceso no autorizado a datos personales de nuestros clientes.
Gracias a nuestros protocolos de detección y seguridad, el incidente se identificó y subsanó rápidamente, y los datos de nuestros clientes están actualmente protegidos.
Hemos exigido al proveedor que refuerce sus mecanismos de seguridad para evitar situaciones similares en el futuro. También, hemos puesto estos hechos en conocimiento de la Agencia Española Protección de Datos, en cumplimiento de nuestras obligaciones legales y de nuestro compromiso con la protección de tu información.
¿Qué tipo de datos se han visto afectados por este incidente?
Los datos afectados son datos identificativos y de contacto.
¿Se ha visto expuesto el dato de mi cuenta bancaria?
No, ningún dato relativo a tu cuenta bancaria ni otros medios de pago se ha visto afectado.
En caso de no ser cliente actualmente, ¿por qué tenían mis datos?
Las empresas están obligadas por Ley a conservar la información bloqueada durante un periodo de tiempo tras la baja del servicio, generalmente 6 años. Transcurrido ese periodo se elimina automáticamente. En este caso, el ciberataque ha afectado tanto a datos en uso, de clientes, como a datos bloqueados.
¿Qué consecuencias puede tener este acceso no autorizado a información?
Xfera ha analizado detalladamente las posibles consecuencias que este acceso no autorizado podría tener y hemos detectado que no se dan las siguientes circunstancias:
- Con esta brecha no se incrementa el riesgo de que se dirijan a ti suplantándonos porque el dato de la operadora que presta servicio a un móvil es publicado por la Administración Pública, públicamente accesible.
- En cuanto a que puedas recibir campañas de phishing recuerda que Xfera nunca se dirige directamente a ti, sino a través del proveedor o marca con el que tenemos el acuerdo para prestarte el servicio.
- No pueden suplantarte ante nosotros o el proveedor a través de la que te prestamos el servicio porque tu identidad se verifica mediante técnicas y datos que no se han visto afectados.
- Tampoco pueden suplantarte en el tráfico jurídico, es decir, no pueden hacer contratos o solicitar créditos en tu nombre, porque no se ha visto afectado ningún documento acreditativo de tu identidad. Cualquier contrato que se realice sin identificarte fehacientemente podrás anularlo sin impacto ni coste, por no haber seguido el proveedor las medidas obligatorias de verificación de tu identidad.
El único caso que podría suponer un riesgo para ti se daría si tus datos ya se hubieran visto afectados en brechas anteriores de otros proveedores, ya que podrían ser utilizados para enriquecer esos datos robados a terceros previamente. Por ejemplo, si en brechas de terceros se hubiese exfiltrado tus datos identificativos y tu número de cuenta, al poder enriquecerlos ahora con tu número de móvil, podrían enviarte un phishing dirigido de tu entidad bancaria.
Si este es tu caso te recomendamos que recuperes la información que estos otros proveedores te hayan facilitado sobre la exfiltración previa y sigas sus recomendaciones.
¿Se han publicado mis datos en la darkweb/deepweb o similar?
Xfera cuenta con equipos de monitorización de la darkweb y hasta el momento no se ha detectado que la información sustraída a Xfera haya sido publicada.
¿Qué medidas ha adoptado Xera para poner remedio a esta violación de seguridad y mitigar sus efectos?
Tan pronto tuvimos constancia del ciberataque, Xfera procedió de inmediato al corte del acceso a los sistemas de la compañía para evitar accesos no autorizados.
Tengo más dudas/quiero contactar con el DPO/quiero poner una reclamación
Puedes contactar con nosotros en el 900 901 564 o en la dirección de correo electrónico
Consejos y medidas de seguridad para proteger tus datos:
Queremos aprovechar esta comunicación para recordarte algunas recomendaciones básicas para mantenerte protegido frente a la ciberdelincuencia:
- No acceder a sitios no seguros, ni abrir enlaces ligados a mensajes de correo electrónico o SMS, a menos que se tenga plena confianza sobre su origen.
- Nunca proporcionar información privada o sensible (como el PIN de una tarjeta de crédito o las claves de acceso a plataformas o servicios) si ésta es solicitada a través de correos o mensajes cuyo remitente no esté debidamente identificado.
- Cambiar las claves de acceso si se cree que éstas pueden haberse visto comprometidas.
- Contactar con su entidad bancaria en caso de detectar alguna anomalía.
