La AEPD no sanciona a Vodafone por el robo de facturas de clientes al considerar que actuó con diligencia tras el ciberataque

La AEPD considera que Vodafone actuó con diligencia tras sufrir un ciberataque que provocó robo de facturas de sus clientes.

En octubre del pasado año Vodafone sufrió un ciberataque que consiguió eludir los controles de seguridad del operador de telefonía mediante el uso de casi 10.000 direcciones IP distintas. Tras ese ataque consiguieron acceder a 259 cuentas tras casi 60.000 intentos de acceso.

El resultado se saldó con el robo de 185 facturas correspondientes al 171 usuarios de Vodafone, conteniendo datos como nombre, apellidos, dirección, DNI, número de teléfono de las líneas contratadas, las tarifas contratadas y las últimas cuatro cifras correspondientes al número de cuenta bancaria.

El acceso se produjo porque los ciberatacantes contaban con contraseñas que los clientes de Vodafone empleaban en otros servicios distintos, algo que contraviene las habituales recomendaciones de no utilizar una misma contraseña en distintas plataformas de Internet.

Tras la investigación abierta por la Agencia Española de Protección de Datos (AEPD) el dictamen de organismo supervisor ha sido el de no sancionar a Vodafone pues considera que actuó con diligencia tras sufrir el ciberataque. El Reglamento General de Protección de Datos (RGPD) obliga a comunicar antes de un plazo de 72 horas la producción de una incidencia que ponga en riesgo la integridad de los datos personales tratados, y según la información recabada por la AEPD en este caso Vodafone así lo hizo.

Aviso a clientes y AEPD

En cuanto tuvo conocimiento del ciberataque, Vodafone envió un SMS a aquellos de sus clientes que se habían visto afectados, con el siguiente texto:

“VF Info: Hemos detectado intentos de acceso sospechosos en tu cuenta de Mi Vodafone. Para tu seguridad, hemos reseteado tu contraseña. Entra en Mi Vodafone para establecer una nueva distinta a la anterior. Te recomendamos revises otras cuentas que protejas con las mismas credenciales”.

Al mismo tiempo Vodafone notificó la incidencia a la AEPD, que ha concluido su investigación sin imponer ninguna sanción al operador al considerar que actuó de manera diligente en cumplimiento de las previsiones legales contenidas en el RGPD.