Bizum recibe una multa de 80.000 euros por una brecha de seguridad que ha filtrado miles de números de teléfono

Bizum cuenta con una trayectoria de diez años y un historial de protección de seguridad extremadamente complejo, hasta este momento. La Agencia Nacional de Protección de Datos ha sancionado a Bizum S.L. con una cantidad de 80.000 euros tras la extracción de datos personales de varios miles de usuarios debido a una 'inadecuada implementación' de medidas de protección, como sentencia la resolución EXP202318538 de la AEPD.

Esta brecha se produjo en 2023, pero la entidad fue informada en 2020 de la vulnerabilidad de Bizum a tácticas de scraping, es decir, cuando se emplea un software para extraer datos de webs de forma automática.

En este caso concreto, los ciberdelincuentes aprovecharon una de las funcionalidades de la plataforma. Cuando se introduce un número de teléfono, el sistema muestra el nombre e iniciales de su titular. Un individuo alertó a la agencia de que este sistema podía ser abusado, pero esta no tomó medidas tras conocer las impuestas por Bizum.

Sin embargo en septiembre de 2022, se produjo esta brecha a través de la web de una de las entidades adheridas al sistema de pago instantáneo. El inusual aumento de peticiones al directorio fue detectado y el usuario bloqueado tras dos horas de scraping, pero los ciberdelincuentes ya habían obtenido los datos de más de 20.000 usuarios.

La agencia reprocha a Bizum que no informara a los usuarios del problema, a pesar de que se ajustara a los establecido een el artículo 34.3 del RGPD. Aun así, la sanción viene motivada por otros factores.

Uno de los motivos es el ámplio período de tiempo transcurrido desde que se produjo la brecha hasta que Bizum tuvo conocimiento de esta. Esto sucedió en 2023, cuando en la 'dark web' apareció una muestra de 2.634 registros de los 20.070 obtenidos a la venta.

Los números de teléfono que aparecían en dicha muestra están comprendidos entre el 600 000 000 al 600 007 494, pero el de la filtración al completo es mayor. la entidad ha asegurado que contrató una empresa para hacer desaparecer esta información de la red y que actualmente es imposible de encontrar.

Además de la sanción económica impuesta por la AEPD, Bizum deberá adoptar también una serie de medidas correctivas:

- Acreditar la adopción de las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adcuado al riesgo del tratamiento de datos que realiza.

- Restringir el acceso a información personal.

- Las medidas se deben diseñar para impedir que el acceso a la información personal pueda ser realizado por usuarios no autorizados.