La operadora neerlandesa Odido ha confirmado que no indemnizará a los millones de usuarios afectados por el grave ciberataque sufrido a principios de febrero, un incidente que terminó con la filtración de datos personales de aproximadamente 6,2 millones de cuentas.
La compañía considera que actuó conforme a la normativa y sostiene que, hasta el momento, no existen pruebas de que incumpliera las obligaciones legales relacionadas con la protección de datos.
El ataque ha terminado convirtiéndose en uno de los mayores incidentes de ciberseguridad registrados en el sector de las telecomunicaciones en Países Bajos durante los últimos años. Además de los clientes actuales, entre la información comprometida también aparecieron registros de antiguos usuarios que habían abandonado la empresa tiempo atrás.
Un ataque ejecutado mediante “phishing por voz”
Según ha explicado la propia compañía, los atacantes consiguieron acceder a determinados sistemas internos utilizando técnicas de ingeniería social conocidas como “vishing” o phishing por voz. Los ciberdelincuentes se hicieron pasar telefónicamente por personal técnico de la operadora para engañar a empleados y obtener acceso a herramientas corporativas.
Las intrusiones se habrían producido durante los días 5 y 6 de febrero. A partir de ahí, el grupo criminal conocido como ShinyHunters logró extraer una enorme cantidad de información personal. Entre los datos filtrados habría nombres, direcciones, números de teléfono, correos electrónicos e información vinculada a contratos de clientes.
La situación se agravó todavía más después de que los hackers exigieran un rescate económico a cambio de no publicar la información robada. Odido decidió no negociar ni realizar ningún pago, una decisión que finalmente derivó en la difusión de parte de los datos en internet.
La investigación pone el foco en la gestión de los datos
Aunque la empresa insiste en que cumplía con las exigencias regulatorias, el caso ya está siendo analizado por las autoridades neerlandesas. Uno de los aspectos que más preocupa es la posible conservación de información personal durante más tiempo del permitido legalmente.
La investigación se centra especialmente en los datos de antiguos clientes que seguían almacenados en los sistemas de la operadora pese a haber finalizado su relación comercial años antes. Este punto podría convertirse en uno de los elementos clave del procedimiento judicial abierto en Países Bajos.
La Fiscalía neerlandesa ya ha iniciado una investigación penal para determinar el alcance exacto del incidente y comprobar si existieron deficiencias relevantes en la protección de la información.
Al mismo tiempo, distintas plataformas legales están preparando una demanda colectiva masiva contra la compañía. A finales de abril ya se habían registrado cerca de 350.000 afectados interesados en sumarse a posibles acciones judiciales.
¿Tenía Odido una ciberseguridad suficientemente sólida?
El ataque ha vuelto a poner sobre la mesa el debate sobre la preparación real de las grandes compañías frente a amenazas cada vez más sofisticadas. Aunque el “vishing” depende en gran parte del factor humano, este tipo de incidentes también evidencia presuntas debilidades internas en los protocolos de verificación y control de accesos.
Cuando un ataque basado en ingeniería social permite acceder a información de millones de usuarios, normalmente se analiza si existían mecanismos adicionales de protección, segmentación de redes o autenticaciones reforzadas capaces de limitar el daño.
Además, el hecho de que los atacantes pudieran extraer datos de antiguos clientes ha intensificado las dudas sobre las políticas de almacenamiento y eliminación de información sensible.
Tras el incidente, la empresa ha asegurado que está reforzando sus sistemas de defensa y aumentando las inversiones destinadas a mejorar tanto la protección como el almacenamiento de los datos de los usuarios.
ShinyHunters sigue acumulando víctimas internacionales
El grupo ShinyHunters lleva años vinculado a ataques de alto impacto contra empresas tecnológicas, plataformas digitales y grandes organizaciones internacionales. Sus operaciones suelen combinar robo masivo de datos, extorsión y publicación de información filtrada en foros clandestinos.
Semanas después del ataque contra Odido, el mismo grupo volvió a aparecer relacionado con otro ciberataque contra la empresa estadounidense responsable de la plataforma educativa Canvas. El ciberataque afectó también a varias universidades neerlandesas y obligó a negociar para recuperar el acceso a parte de los sistemas comprometidos.
