ru24.pro
World News in Spanish
Октябрь
2024

El ciberataque a Orange de 2023 no afectó a información personal de clientes

0
  1. Orange pidió a sus clientes que tuvieran cuidado
  2. La investigación revela lo que sucedió realmente
  3. Miles de usuarios se quedaron sin Internet 
  4. No se produjo filtración de datos personales
  5. Archivo del caso
Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos (AEPD) ha resuelto archivar las actuaciones abiertas contra la empresa multinacional de telecomunicaciones francesa Orange, tras una investigación motivada por la posible exposición de datos personales de sus clientes. 

El caso se inició el pasado 26 de enero de 2024, cuando la AEPD tuvo conocimiento de una serie de noticias publicadas en los medios de comunicación, en las que se alertaba de una presunta brecha de seguridad que podría haber comprometido información sensible de los usuarios de la compañía.

Orange pidió a sus clientes que tuvieran cuidado

El incidente, fechado en septiembre de 2023, apuntaba a que un ataque cibernético había expuesto datos como nombres, apellidos, direcciones postales, números de teléfono, correos electrónicos, y hasta información bancaria como el código IBAN de los clientes, según consta en la resolución a la que ha tenido acceso Confidencial Digital

Según las informaciones publicadas, la compañía de telecomunicaciones Orange, que cuenta con más de 21 millones de clientes en España, envió una comunicación a los posibles afectados aconsejándoles precaución ante posibles intentos de fraude a raíz de la filtración de datos.

Les recomendó, concretamente, que durante los siguientes meses tuvieran especial cuidado con los correos electrónicos, mensajes o llamadas de los cuales no pudieran confirmar su procedencia o remitente, especialmente aquellos que solicitasen información bancaria o credenciales.

También, advertía a sus clientes que revisaran de manera regular la información que circulaba sobre ellos en Internet para detectar un posible uso fraudulento de sus datos privados.

La investigación revela lo que sucedió realmente

La investigación llevada a cabo por la Subdirección General de Inspección de Datos (SGID) revela que el ataque estuvo relacionado con la obtención no autorizada de las credenciales de Orange para acceder al sistema RIPE NCC (Centro de Coordinación de Redes IP Europeas), una base de datos técnica de telecomunicaciones. 

Los datos técnicos se refieren a: información sobre la red y su enrutamiento (cómo fluye el tráfico de internet), detalles de infraestructura, como configuraciones de sistemas, servidores, o aplicaciones de la red y credenciales y contraseñas de sistemas internos que son utilizados para administrar la red, pero no datos personales como nombres, direcciones, o información bancaria.

Miles de usuarios se quedaron sin Internet 

A través de este acceso, los atacantes manipularon el sistema de enrutamiento de Internet (BGP), provocando fallos de conectividad para miles de usuarios de Orange durante unas horas.

Este tipo de ataque, conocido como "hijacking" [secuestro], permite redirigir el tráfico de Internet para interceptar los datos o desviarlos, lo que generó un caos temporal en los servicios de la operadora y provocó fallos al acceder a webs y aplicaciones.

Una de las evidencias que destaca la AEPD son varias publicaciones realizadas en la red social X (antes Twitter), donde se difunden pruebas de haber obtenido a raíz de filtraciones públicas, las credenciales de Orange para acceso a RIPE NNC, haber conseguido entrar en la aplicación y realizar modificaciones en el sistema de enrutamiento. 

No se produjo filtración de datos personales

Sin embargo, la AEPD ha concluido que, aunque hubo un incidente de seguridad, no se produjo una filtración de datos personales de los clientes. El acceso se limitó a información técnica relacionada con la infraestructura de red de la empresa.

Orange confirmó que el acceso no autorizado fue resultado de un ataque de phishing a un proveedor de la compañía, que permitió al atacante obtener una contraseña almacenada en un PC infectado.

A pesar de este acceso, la investigación forense encargada por Orange concluyó que no hubo evidencias de que el atacante hubiese logrado información sensible más allá de la credencial utilizada para entrar en RIPE NCC.

Archivo del caso

El malware responsable, identificado como "RACCOON", fue detectado y neutralizado rápidamente por el software de protección del equipo afectado, lo que impidió un acceso más amplio a los sistemas de Orange.

La AEPD ha considerado que el incidente fue gestionado como un fallo de servicio, sin que se haya vulnerado el Reglamento General de Protección de Datos (RGPD) ni la Ley Orgánica de Protección de Datos (LOPDGDD). Por tanto, se ha determinado que no hubo una violación de seguridad que afectara a los derechos de los usuarios.

Finalmente, tras analizar toda la información y no encontrar indicios de que se haya producido una brecha de datos personales, la AEPD ha acordado el archivo del caso, sin imponer ninguna sanción a Orange.

Orange Bank