La exfiltración involucraría unos dos mil millones de registros de datos sensibles correspondientes a titulares de telefonía móvil. El organismo es responsable de custodiar los datos de los usuarios españoles de telefonía, por lo que potencialmente se trataría de información personal e incluso perfiles completos de titulares.
La Comisión Nacional de los Mercados y la Competencia (CNMC) sufrió un grave “ciberataque masivo” en el que se filtraron 2 mil millones de registros de datos sensibles. La situación fue confirmada por el Consejo General del Poder Judicial a través de una nota de prensa publicada en su página web.
El pasado 12 de diciembre la CNMC publicó en un comunicado que “un reciente ciberataque a los sistemas de la CNMC ha supuesto un acceso no autorizado a datos personales mediante la descarga de ficheros del Sistema de Gestión de Datos de Abonado (SGDA). La Comisión gestiona dicho sistema en el marco de sus competencias en el sector de las telecomunicaciones”.
El comunicado también indica que “los datos afectados corresponden a abonados al servicio telefónico y son de naturaleza exclusivamente identificativa” pero enfatiza que “en ningún caso incluyen datos de tipo financiero o especialmente protegidos”.
La entidad también indicó en su comunicado que el incidente fue notificado a las autoridades competentes y que estaban cooperando con la investigación en curso.
Además, la entidad aseguró estar adoptando una serie de medidas adicionales “para reforzar los sistemas afectados con el fin de evitar ataques similares en un futuro”, además de revisar “sus procesos internos de gestión de seguridad de la información para añadir nuevos controles”.
De acuerdo a varias versiones de medios, los datos involucrados incluyen 240 GB de información de abonados a líneas telefónicas en España, que potencialmente contienen datos personales y perfiles completos de titulares. Ni el Consejo General del Poder Judicial (CGPJ) ni la CNMC han especificado la profundidad de los datos a los que accedieron los atacantes.
El caso inicial lo había asumido el Juzgado de Instrucción número 27 de Madrid, pero posteriormente se inhibió, al considerar que los hechos se tipifican como delitos de ataques informáticos y contra la seguridad nacional. La Fiscalía, que estaba en desacuerdo con que el caso recayera en la Audiencia Nacional, argumentó que la CNMC no es una “institución del Estado” según la Ley Orgánica del Poder Judicial. Sin embargo, la juez María Tardón, que llevará el caso, analizó la doctrina del Tribunal Supremo y concluyó que la CNMC sí debe considerarse un alto organismo del Estado.
La jueza argumentó su posición indicando que “nos encontramos ante un ciberataque masivo contra una entidad que, por su incardinación en la estructura del Estado y su esencial función, supone una grave e indudable afectación institucional, en un ámbito tan particularmente sensible y relevante para su normal funcionamiento como el del control del correcto funcionamiento, la transparencia y la existencia de una competencia efectiva en todos los mercados y sectores productivos, en beneficio de los consumidores y usuarios”.
Por el momento, no se ha hecho público el origen del ciberataque ni la autoría. Se espera que la CNMC y la investigación ofrezcan más datos para entender la gravedad de la filtración.