R advierte a sus trabajadores que sus DNIs y otros datos confidenciales han sido hackeados

La filtración se debe al ataque cibernético con ransomware LockBit que ocurrió en mayo. Los piratas primero amenazaron con publicar lo robado, mostrando capturas de pantalla como muestra. Entre esas capturas estaba por ejemplo una base de datos con los nombres, dnis, experiencia y filiación de los delegados sindicales del grupo en Euskadi y Galicia.  Son datos de 38 representantes sindicales de CGT, UGT, CC.OO., ELA en Galicia, Asturias y el País Vasco. 

Hace unos días, los ciberdelincuentes publicaron 29 GB -una cantidad enorme de documentos- procedentes del servidor euskaltel.com. Del servidor mundo-r.com, los hackers indican que han publicado también la ducmentaicón, pero, al contrario que en euskaltel.com no facilitan el acceso a los datos.

Por ahora, sigue sin haber pruebas de que los datos o los documentos de los clientes de R Cable, Euskaltel o Telecable hayan sido hackeados. Casi todos los DNIs, Currículum Vitae, datos de filiación sindical, etc. encontrados pro Galiciapress en lo ya publicado en la Dark Web pertenecen por ahora a directivos, trabajadores delegados sindicales, proveedores o patrocinados por el grupo, no directamente a clientes.

Casi todos, porque hay una captura de pantalla de una base de datos, "clientes destacados", con e DNI de importantes empresarios -muchos directivos del grupo- y políticos vascos, incluido el lehendakari Íñiko Urkullu Rentería. 

R TIENE OBLIGACIÓN DE AVISAR A LOS PERJUDICADOS

Hay que recordar que la ley obliga a los propietarios de bases de datos de avisar a los afectados cuando sus datos son robados. Esto podría explicar porqué el Grupo Más Móvil ha advertido a sus empleados pero no a sus clientes.

En concreto, la  Ley Orgánica de Protección de Datos y garantía de los derechos digitales (LOPDGDD) establece que:

Artículo 33.1.: en caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.

Artículo 34.1.: Cuando sea probable que la violación de la seguridad de los datos personales entrañe un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento la comunicará al interesado sin dilación indebida.

Galiciapress ha preguntado hoy a la Agencia Española de Protección de Datos si la empresa había comunicado la incidencia o si la Administración había empezado un expediente de oficio. Por ahora no ha recibido respuesta.

Más Móvil (que opera el grupo Euskaltel, que a su vez tiene las marcas Euskalet, R Cable y Telecable ) ha pedido extremar la cautela a sus asalariados. La empresa ha advertido a sus operarios sobre la posibilidad de que alguien pueda utilizar esta información para llevar a cabo prácticas delictivas de forma telemática. Por ejemplo,  usando mensajes de texto suplantando a entidades bancarias. 

En apariencia, lo más grave del asalto es la publicación datos de la cuenta bancaria. Con todo, la compañía alega ante sus operarios que con ésto no basta para domiciliar recibos ni realizar pagos, y en caso de que se realice algún cargo en la cuenta, los afectados tendrían meses para solicitar el reembolso. 

Ahora bien, hay que tener en cuenta que algunos bancos on-line solo piden un número de cuenta y una foto de un DNI o un pasaporte para solicitar un crédito rápido y, lamentablemente, entre la documentación ya filtrada  hay fotos de DNIs y pasaportes de trabajadores y directivos del grupo. 

QUEDAN MUCHOS MÁS DATOS POR PUBLICAR

El 15 de mayo, el blog sobre filtraciones de ransomware, LockBit 3.0 Leaked Data,  difundió dos entradas en las que aseguraba robaran datos sensibles de un servidor de R y de otro Euskaltel. En concreto, 3 terabytes (TB) de datos confidenciales de los clientes y trabajadores de la compañía gallega y otros 100 gigabytes (GB) de la vasca. 

Con todo, por ahora en apariencia solo han publicado unos 30GB de Euskaltel.com . En apariencia, porque la publicación está diseñada de tal modo que hay que descargar documento a documento, lo que en la práctica hace imposible una bajada completa y comprobación sistemática.

De los 100 GB birlados de mundo-r.com no hay noticia. En las capturas de pantalla publicadas en mayo como muestra, los piratas incluyeron al menos la foto del pasaporte de una trabajadora. Galiciapress comprobó que lo publicado en la web profunda coincide con los datos que esa misma operaria incluyó en su Linkedin. Lo mismo comprobó con la base de datos de representantes sindicales, incluida en las capturas de muestra relevadas el 14 de mayo, coinciden los datos de los sindicalistas en esa captura con los datos que ellos mismos van publicando en sus redes sociales. En Euskadi, CC.OO. ha pedido una reunión con la compañía para abordar el asunto.

Es decir, hay pocas dudas de que el ataque logró robar cierta cantidad de información, como confirmó entre líneas R Cable cuando comunicó a Galiciapress que había denunciado los hechos ante la Guardia Civil. Desde entonces, la empresa guarda silencio.

¿Por qué se han publicado parte de datos de euskaltel.com y no los de mundo-r.com? Es posible que lo difundido gratuitamente sea solo la parte con menos valor de lo robado. Un intento de los ciberdelincuentes de seguir metiendo presión poco a poco a los empresarios para que paguen un rescate.

¿HAY DATOS DE CLIENTES DE R A LA VENTA?

Hay que señalar que el hecho que no se hayan publicado por ahora documentos de los clientes no implica que los piratas no hayan accedido a ellos. De haber logrado acceso, son datos con mucho valor, que no van a desvelar gratuitamente. 

La práctica habitual con estas bases de datos con datos potencialmente adecuados para reutilizar en otros ataques es ponerlos a la venta en otros foros de la Dark Web, donde los piratas comercian con el botín de sus asaltos. Allí los venden a ciberdelincuentes que quieran reexplotarlos para , por ejemplo, suplantar identidades, pedir créditos, hacer compras, etc. Por ahora, Galiciapress no ha encuentrado pruebas de que se estén ofreciendo datos de clientes en ingún foro.

Con todo, es importante que en estas fechas tanto los clientes como los trabajadores de R Cable, la asturiana Telecable y la vasca Euskaltel estén especialmente atentos a las cuentas donde tienen domiciliados los recibos de estas operadoras. También a sus correos electrónicos y SMS, vigilando que no son víctimas de un ataque de suplantación de identidad.