La AEPD no sanciona a Vodafone por el robo de facturas de clientes al considerar que actuó con diligencia tras el ciberataque

En octubre del pasado año Vodafone sufrió un ciberataque que consiguió eludir los controles de seguridad del operador de telefonía mediante el uso de casi 10.000 direcciones IP distintas. Tras ese ataque consiguieron acceder a 259 cuentas tras casi 60.000 intentos de acceso.

El resultado se saldó con el robo de 185 facturas correspondientes al 171 usuarios de Vodafone, conteniendo datos como nombre, apellidos, dirección, DNI, número de teléfono de las líneas contratadas, las tarifas contratadas y las últimas cuatro cifras correspondientes al número de cuenta bancaria.

El acceso se produjo porque los ciberatacantes contaban con contraseñas que los clientes de Vodafone empleaban en otros servicios distintos, algo que contraviene las habituales recomendaciones de no utilizar una misma contraseña en distintas plataformas de Internet.

Tras la investigación abierta por la Agencia Española de Protección de Datos (AEPD) el dictamen de organismo supervisor ha sido el de no sancionar a Vodafone pues considera que actuó con diligencia tras sufrir el ciberataque. El Reglamento General de Protección de Datos (RGPD) obliga a comunicar antes de un plazo de 72 horas la producción de una incidencia que ponga en riesgo la integridad de los datos personales tratados, y según la información recabada por la AEPD en este caso Vodafone así lo hizo.

Aviso a clientes y AEPD

En cuanto tuvo conocimiento del ciberataque, Vodafone envió un SMS a aquellos de sus clientes que se habían visto afectados, con el siguiente texto:

“VF Info: Hemos detectado intentos de acceso sospechosos en tu cuenta de Mi Vodafone. Para tu seguridad, hemos reseteado tu contraseña. Entra en Mi Vodafone para establecer una nueva distinta a la anterior. Te recomendamos revises otras cuentas que protejas con las mismas credenciales”.

Al mismo tiempo Vodafone notificó la incidencia a la AEPD, que ha concluido su investigación sin imponer ninguna sanción al operador al considerar que actuó de manera diligente en cumplimiento de las previsiones legales contenidas en el RGPD.

Antonio Rentero

Recent Posts

El sector público español atraviesa la primera etapa de su transición digital

Según datos de IDC, este sector incrementará su gasto de TI un 6,4 % este…

30 mins ago

Las empresas españolas invertirán casi 60.000 millones de euros en tecnología en 2022

IDC Research España ha publicado sus previsiones de mercado para el año que viene y…

1 hora ago

Grupo MASMOVIL: “La integración con Euskaltel está yendo muy bien, incluso mejor de la esperado”

En estos momentos la compañía cuenta con 14,3 millones de clientes: 11,3 millones con líneas…

2 horas ago

Eaton extiende la garantía del producto uno o tres años adicionales

Lanza los servicios Connected Warranty+1 y Connected Warranty+3, que se completan con Eaton Cyber Secured…

3 horas ago

Fujitsu lanza al mercado una nueva workstation portátil

Celsius H5511 combina pantalla de 15,6 pulgadas con procesadores Intel Core, una batería de 69,7…

4 horas ago