Un ciberataque masivo expuso la información sensible de más de 6 millones de clientes de la operadora de telecomunicaciones Odido, convirtiéndose en la brecha de datos más grande de la historia reciente en ese país.
La empresa de telecomunicaciones Odido, uno de los principales operadores de telefonía móvil e internet en los Países Bajos, confirmó que fue víctima de un ciberataque que comprometió los datos personales de aproximadamente 6,2 millones de clientes actuales y antiguos. El incidente, detectado durante el fin de semana del 7 de febrero, ha sido calificado como uno de los mayores de este tipo en la historia reciente del país.
Según la compañía, los atacantes consiguieron acceder de forma no autorizada a su sistema de contacto con clientes, desde donde pudieron descargar datos personales sensibles. Entre la información extraída se incluyen nombres completos, direcciones, números de teléfono, direcciones de correo electrónico, fechas de nacimiento, números de cuenta bancaria (IBAN), números de documentos de identidad y, en algunos casos, la validez de estos documentos. Aunque Odido ha señalado que no se vieron afectadas contraseñas, registros de llamadas, datos de facturación ni detalles de localización, la amplitud del material comprometido generó gran preocupación en el país.
La compañía informó que una vez que detectó el acceso ilícito, procedió a cerrar la brecha de inmediato, y agregó que estaban trabajando con expertos internos y externos en ciberseguridad para mitigar los efectos del ataque. Odido también informó oportunamente del incidente a la Autoriteit Persoonsgegevens, la autoridad neerlandesa de protección de datos, e inició el envío de notificaciones directas por correo electrónico o SMS a los clientes afectados para alertarlos de la situación.
Uno de los factores más preocupantes del incidente tiene relación con que la empresa Odido conservaba datos de antiguos clientes, mucho más del tiempo que su política oficial de privacidad indicaba. Esto se confirmó luego de que usuarios que abandonaron la operadora entre cinco y hasta diez años atrás también recibieron notificaciones de que su información había sido comprometida, a pesar de que la empresa afirma mantener datos de clientes inactivos un máximo de dos años. Todo apunta a que, en ese aspecto, Odido incumplió sus obligaciones de gestión de datos personales.
La información recopilada por diversos medios señala que la técnica utilizada por los atacantes para infiltrarse parece haber involucrado ataques de ingeniería social y phishing dirigidos al personal de atención al cliente, con el objetivo de obtener credenciales de acceso al sistema.
Los servicios de telefonía, internet y televisión de Odido no fueron interrumpidos como consecuencia delincidente. La empresa afirma haber reforzado sus medidas de seguridad.