Un ciberataque a gran escala provocó el robo de facturas de clientes de Vodafone

Vodafone notificó un ciberataque a la Agencia Española de Protección de Datos (AEPD). Los ciberatacantes lograron descargarse 185 facturas de 171 usuarios del operador. La información que contienen estas facturas son el nombre, apellidos, dirección, DNI, líneas contratadas, tarifa contratada y los últimos cuatro dígitos de la cuenta bancaria.

El ataque consistió en 58.630 intentos de acceso contra la aplicación móvil Mi Vodafone, a través de la cual la compañía y los clientes mantienen el contacto. "Tras analizar los intentos de acceso se comprobó que el tráfico consistía en solicitudes de combinación de nombre de usuario y contraseña, usando la API del backend para validar si las credenciales existían en la plataforma de Mi Vodafone", explica la Agencia Española de Protección de Datos en la resolución de archivo de actuaciones, consultada por Vozpópuli para la realización de esta información.

El organismo encargado de velar por el buen tratamiento de los datos de los españoles ha decidido archivar el caso. La documentación consultada refleja, siempre según la AEPD, que Vodafone actuó con diligencia, ajustándose conforme dicta la legislación.

El ciberataque consistió en 58.630 intentos de acceso contra la aplicación móvil Mi Vodafone, a través de la cual la compañía y los clientes mantienen el contacto

El Reglamento General de Protección de Datos establece que los incidentes de ciberseguridad deben comunicarse a la AEPD. También se debe informar de ello a aquellas personas que hayan sido objeto del mismo en las 72 horas posteriores.

El ciberataque usó miles de IP

Los ciberatacantes utilizaron un elevado número de direcciones IP diferentes (concretamente 9.980) para eludir los controles de seguridad. Las IP son el 'DNI' de los equipos que se conectan a Internet, y permiten a las Fuerzas y Cuerpos de Seguridad del Estado (FFCCSE) rastrear a quienes están detrás de estos incidentes de seguridad.

"El análisis realizado determinó que el tráfico eran solicitudes de combinación de nombre de usuario y contraseña (Credential Stuffing) que estaban usando la API del backend para validar si las credenciales existían en la plataforma de Mi Vodafone. Un porcentaje de las credenciales intentadas produjeron una validación correcta, por la razón de que algunos usuarios utilizan el mismo conjunto de credenciales en
distintos portales online. Este hecho permitió al atacante la validación positiva (login correcto) de 259 cuentas de Mi Vodafone", refleja la documentación.

Es decir, los atacantes consiguieron hacerse con las contraseñas de los usuarios de Vodafone y, a partir de ahí, entrar en sus cuentas y descargar sus facturas -la app Mi Vodafone permite al cliente consultarlas y descargarlas desde el móvil-.

El texto asegura que "el método empleado por el atacante consiste en, haciendo uso de múltiples IPs de
origen y de conjuntos de credenciales extraídas de internet, realizar un intento de usuario y contraseña por cada registro contra Mi Vodafone".

Es decir, los ciberatacantes ya contaban con contraseñas de clientes de Vodafone de otros servicios, que resultaron coincidir con las que utilizaban para entrar en la aplicación. Los expertos en ciberseguridad recomiendan siempre no utilizar las mismas contraseñas para todos los servicios. Lo ideal es que haya una diferente para cada uno de ellos (correos, bancos, tarjetas de crédito, etcétera) y que estas utilicen letras, números y caracteres.

Vodafone informó a los afectados por el ciberataque de la necesidad de cambiar las contraseñas que venían utilizando. Lo hizo a través de un mensaje corto (SMS) que envió el 16 de octubre del año pasado: "VF Info: Hemos detectado intentos de acceso sospechosos en tu cuenta de Mi Vodafone. Para tu seguridad, hemos reseteado tu contraseña. Entra en Mi Vodafone para establecer una nueva distinta a la anterior. Te recomendamos revises otras cuentas que protejas con las mismas credenciales”.

Por último, Vodafone notificó a la Agencia Española de Protección de Datos que las investigaciones posteriores no detectaron actividades anormales en las cuentas de los clientes afectados, ni tampoco reclamaciones por parte de estos.