{{#section.link.href}}
{{section.link.title}}
{{/section.link.href}}
La cadena de tiendas y servicios para móviles, Phone House, fue ayer víctima de un ciberataque. A través de una página en la Dark Web, el grupo de hackers responsables del ransonware Babuk, anunciaban que se habían hecho con una base de datos que contenía información privada de clientes y empleados de la cadena y amenazaba a Phone House con publicarlos. Hoy, han cumplido con su amenaza.
Los ciberatacantes publicaron un mensaje donde adjuntaban algunas capturas donde se mostraban datos personales como DNI's, número IMEI, correo o la dirección y explicaban que contaban con varias "bases de datos que contienen información privada (nombre completo, fecha de nacimiento, correo electrónico, teléfono, dirección, nacionalidad...) de más de 13 millones de clientes y empleados de The Phone House". Los hackers pedían un rescate para no hacer públicos todos esos datos y amenazaban con publicar toda la información en su blog público de la darknet , además de enviarla "a todos vuestros socios y competidores".
Hoy los hackers han cumplido su amenaza y han hecho público un primer documento: una base de datos con una primera parte de los datos robados. se trata de una hoja de cálculo con los datos personales de 1.048.575 personas (que es el máximo de filas de Excel permitidas por archivo) y que pertenecen a clientes y empleados de Phone House.
El documento, que está disponible para su descarga, incluye datos de todo tipo, como nombres completos, DNI's, números de pasaporte, correos electrónicos, números de teléfono, fechas de nacimiento, nacionalidad, direcciones, códigos postales, provincias, ciudades y hasta la tienda Phone House donde compraron sus terminales. Se trata de un archivo de 5,7 Gb con información que ya se ha confirmado como real. Y no será el único, ya que los hackers recuerdan que aun tienen muchos más datos que harán públicos en los próximos días.
Ya puedes comprobar si tus datos han sido filtrados, gracias a la web Have I Been Pwned. Esta web ha añadido a su base de datos los datos filtrados (además del de otras muchas filtraciones). Si introduces tu número de teléfono o tu mail, la web te avisa si tus datos se han filtrado.
Todavía no hay ningún comunicado oficial por parte de The Phone House, pero la cadena de tiendas podría enfrentarse a una larga cadena de sanciones. Y es que el Reglamento de Protección de Datos (GRPD) establece que "toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción del RGPD tendrá derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos".
Para que pueda haber indemnización tiene que haber responsabilidad por parte de la empresa custodia de los datos en la filtración. No haber puesto los medios necesarios para no sufrir un ataque como el que ha ocurrido puede ser motivo suficiente para la sanción.
La RGPD obliga a las empresas a notificar a la Agencia Española de Protección de Datos las brechas de seguridad que puedan afectar a los derechos y libertades de las personas en el plazo de 72 horas desde que tengan conocimiento de ella (se desconoce si Phone House ha notificado el incidente) y notificar a las personas afectadas pro la filtración para que puedan tomar medidas de protección.
Si has podido constatar que tus datos se encuentran entre la información filtrada, puedes demandar a Phone House mediante un procedimiento civil. Y, por supuesto, sería una buena idea cambiar tus contraseñas.