La Comisión Nacional de Informática y Libertades sancionó a las empresas Free y su subsidiaria Free Mobile por fallas en la seguridad de datos que facilitaron un ciberataque en 2024 que expuso información de más de 24 millones de suscriptores, incluidos información bancaria.
La Comisión Nacional de Informática y Libertades (CNIL), autoridad francesa encargada de la protección de datos personales, impuso multas que suman 42 millones de euros a Free Mobile y su empresa matriz, Free, por una serie de incumplimientos en materia de seguridad informática que desembocaron en una violación masiva de datos en 2024. Los reguladores determinaron que las deficiencias internas permitieron que atacantes accedieran a datos sensibles de millones de clientes, lo que desencadenó una de las sanciones más fuertes aplicadas bajo el Reglamento General de Protección de Datos (GDPR) en el sector de telecomunicaciones.
La investigación de la CNIL señaló que el acceso no autorizado inició a través de fallas en los mecanismos de autenticación de la red privada virtual (VPN) de la empresa, lo que permitió a los atacantes entrar a los sistemas y alcanzar el sistema de gestión de suscriptores de Free Mobile, conocido como MOBO. Aunque el acceso inicial fue solo a la aplicación de Free Mobile, esta tenía la capacidad de consultar información de clientes de ambas empresas, exponiendo datos de más de 24,6 millones de contratos fijos y móviles. Entre la información comprometida se encontraban datos personales y detalles bancarios (IBAN), aumentando el riesgo para los clientes.
Además de las fallas técnicas, la sanción también se basa en deficiencias en la respuesta tras el incidente. En ese sentido, CNIL consideró que la comunicación enviada a los usuarios afectados no cumplió con los requisitos de claridad y exhaustividad exigidos por el GDPR, al no explicar con precisión las consecuencias del ataque ni las medidas que los usuarios podrían tomar para protegerse. También se detectó que no se gestionó adecuadamente la eliminación de datos de antiguos suscriptores, manteniendo información por más tiempo del permitido por la normativa.
Las multas, distribuidas como 27 millones de euros para Free Mobile y 15 millones de euros para Free, tomaron en cuenta factores como el volumen de clientes afectados, la naturaleza sensible de los datos expuestos y la capacidad financiera de las empresas que pertenecen al grupo económico Iliad. Este último registró un volumen de negocios significativo y beneficios relevantes en 2024, lo que influyó en las cifras finales impuestas por el regulador.
El incidente también evidenció que los sistemas de seguridad anteriores al ataque carecían de controles básicos que podrían haber mitigado o bloqueado la intrusión. Entre ellos, procedimientos robustos de autenticación para acceso remoto, mecanismos eficaces de detección de actividad anómala y políticas claras de retención y eliminación de datos estaban ausentes o eran insuficientes, dejando a las compañías vulnerables.
En reacción a la sanción, Free y Free Mobile anunciaron su intención de apelar la decisión, describiendo el fallo de la CNIL como “sin precedentes” y defendiendo las medidas de seguridad ya implementadas desde entonces para reforzar la protección de datos de sus usuarios.