Un ciberataque contra Phone House expone los datos bancarios de millones de clientes españoles

Un ciberataque de tipo ransomware secuestró la semana pasada varias bases de datos de la división española de Phone House. Los cibercriminales amenazaron entonces con publicar los datos de 13 millones de clientes y trabajadores de la compañía si esta no pagaba el rescate que exigían por recuperarlos. Este viernes el grupo Babuk, que se ha atribuido la acción, ha cumplido la amenaza y ha publicado en la dark web los más de 100 gigas de información sensible que tenía en su poder.

La filtración afecta a nombres, números de DNI, cuentas bancarias, teléfonos, correos electrónicos, direcciones físicas, fechas de nacimiento y lugar de trabajo de millones de clientes españoles. Los clientes de Phone House pueden comprobar en Have I Been Pwned? si están entre los afectados. Se trata de un portal que recoge datos sobre brechas de datos personales desarrollado por Troy Hunt, un reconocido experto internacional en ciberseguridad. El Instituto Nacional de Ciberseguridad (Incibe) recomienda consultarlo periódicamente para comprobar si nuestros datos personales se han visto afectados por una de estas filtraciones.

Los cibercriminales liberaron primero los datos de cinco millones de clientes de Phone House para avisar a la empresa de que la extorsión iba en serio. Finalmente, según ha adelantado el portal especializado en ciberseguridad Derecho de la Red, Babuk ha publicado todos los datos que robó. El filtrado de la información se habría producido ante la presunta negativa de la empresa a pagar un rescate. elDiario.es ha contactado en varias ocasiones con Phone House para obtener una explicación de lo sucedido, pero no ha obtenido respuesta.

En caso de ver expuestos nuestros datos, la recomendación de los expertos es cambiar de inmediato las contraseñas de los servicios afectados (y cualquier otro en el que se haya fijado la misma clave) y notificar lo ocurrido a la entidad bancaria. También es necesario extremar la precaución ante la posibilidad de que otros grupos de cibercriminales utilicen la información para llevar a cabo ataques de suplantación de identidad. “Con la dirección, nombre completo o fecha de nacimiento de un usuario se pueden añadir factores de veracidad a ese ataque para que la víctima caiga en la trampa mucho más fácilmente”, avisaba recientemente a este medio Ruth García, técnico del Incibe.

Phone House no ha emitido ningún comunicado sobre lo sucedido ni ha informado del caso en sus redes sociales. La normativa de protección de datos obliga a la empresa a comunicar el ciberataque a los clientes que han sido víctimas de la filtración. En caso de que se demuestre que la brecha ha sido una consecuencia de una infracción por parte de la compañía, los afectados podrían reclamar una indemnización por daños y perjuicios.

Babuk es un grupo de ciberlincuentes que ha desarrollado su propio ataque de ransomware (del inglés ransom, rescate) con el que ha asaltado al menos cinco compañías este 2021, explica la firma de ciberseguridad McAfee. “Una de las empresas ya ha pagado a los delincuentes 85.000 dólares tras las negociaciones. Al igual que otras variantes, este ransomware se despliega en la red de las empresas a las que los delincuentes apuntan y comprometen cuidadosamente”, detallan: “El grupo apunta actualmente a los sectores del transporte, la sanidad, el plástico, la electrónica y la agricultura en múltiples geografías”.

España es uno de los países que Babuk ha intentado atacar con mayor intensidad, aunque los expertos de McAfee explican que “la escasa difusión del ransomware puede indicar que quienes están detrás de él no trabajan dentro de un grupo organizado o con otros socios”. Los cibercriminales que se han identificado como parte del grupo en foros de piratería se han expresado tanto en inglés como en ruso.

Los ataques de ransomware aumentaron un 300% del 2019 a 2020, según los datos Karspersky, otra firma de ciberseguridad. En marzo uno de ellos afectó al SEPE, que pasó varios días paralizado y aún no ha podido recuperar por completo su actividad normal. La recomendación de los expertos es no pagar a los cibercriminales, puesto que esto tampoco es una garantía de que devolverán los archivos o que no intentarán continuar con la extorsión o pedir más dinero.

---

Esta información se ha actualizado el viernes 23 de abril para informar de la publicación de los datos personales y bancarios de 13 millones de clientes y trabajadores de Phone House, después de una brecha inicial que afectaba a cinco millones de personas.