La AEPD sanciona a Bizum con 80.000 euros por una brecha de seguridad
La plataforma Bizum, cuyo funcionamiento permite enviar dinero a dispositivos móviles de forma instantánea, sufrió una brecha de seguridad en la que se filtró información de un bloque de números de teléfono.
Las medidas de protección no fueron implementadas adecuadamente tal y como expresa la resolución EXP202318538 de la AEPD de Agosto. En este caso, los ciberdelincuentes aprovecharon una vulnerabilidad de la plataforma para relacionar números de teléfono con nombres de usuario de forma generalizada, a partir de las iniciales del contacto.
Aunque en 2022 sufrieron una brecha de seguridad utilizando una técnica informática llamada scraping, a través de una de las entidades relacionadas con el sistema de pago instantáneo. Llegando a obtener datos de hasta más de 20.000 usuarios.
Aún así, Bizum no informó a los usuarios afectados, considerando que no había un alto riesgo, concluyendo que el grado de severidad de la brecha era bajo, utilizando una metodología propuesta por la Agencia Europea para la Ciberseguridad.
Registros de Bizum a la venta en la Dark Web
Uno de los motivos de la sanción es el amplio periodo desde la brecha de seguridad hasta que Bizum fue conocedora de la misma. Fue cuando apareció en la Dark Web una base de datos de 2634 registros a la venta.
Los números de teléfono afectados se encuentran en el rango de 600 000 000 – 600 007 494, aunque la filtración es mayor.
Bizum contrató una empresa con tal de eliminar la información filtrada de la red, afirmando que actualmente no es posible encontrar réplicas de los datos.
La sanción fue rebajada un 20% por pago voluntario de la empresa, ya que orginalmente era de 100.000 euros. Además se la obliga a tomar acciones correctivas como:
Garantizar un nivel de seguridad adecuado al riesgo del tratamiento que se realiza
Restringir el acceso a información personal
Y tomar medidas para que el acceso a la información de los contactos y números de teléfono no pueda ser realizado por usuarios no autorizados.
Fuente: La Razón
Esta brecha de seguridad pone de manifiesto la perdida de confianza de los clientes en el servicio frente a un caso de este tipo. Así como la importancia de mantener unos criterios de seguridad acordes a la información y volumen de datos que se trata.
En Forlopd ayudamos a empresas a certificar el esquema nacional de seguridad, una de las condiciones que impone la administración para trabajar con terceros, así como ayudar a un mayor control y seguridad en los procesos internos. Puedes consultar más información sobre nuestro servicio a través de este enlace, y nuestros especialistas te guiarán en el proceso.
