El regulador de privacidad acusa a la empresa de telecomunicaciones Optus de no tomar las medidas necesarias para proteger la información personal de 9,5 millones de personas en el incidente que afectó a la empresa el año 2022.
El Comisionado de Información de Australia (AIC) presentó una demanda civil contra Singtel Optus Pty Limited y Optus Systems Pty Limited (Optus) por el masivo incidente de ciberseguridad revelado en septiembre de 2022, el cual expuso datos personales de aproximadamente 9,5 millones de clientes actuales, antiguos y potenciales.
La investigación oficial concluyó que, entre octubre de 2019 y septiembre de 2022, la empresa no adoptó “medidas razonables” para prevenir el acceso no autorizado, ni la divulgación o el uso indebido de esta información, incumpliendo así la Ley de Privacidad de 1988. El regulador sostiene que las prácticas de ciberseguridad de Optus no estaban a la altura de la naturaleza y volumen de los datos que manejaba, de su tamaño como empresa ni del riesgo potencial para los afectados.
“El inicio de estos procedimientos confirma que la Oficina del Comisionado de Información tomará las acciones necesarias para proteger los derechos de la comunidad australiana”, afirmó la comisionada Elizabeth Tydd. “Las organizaciones tienen la obligación legal y ética de salvaguardar la información personal, y si no lo hacen, actuaremos para garantizar esos derechos”, añadió.
La comisionada de Privacidad, Carly Kind, advirtió que el caso evidencia “los riesgos asociados con sitios web y dominios expuestos públicamente, especialmente cuando interactúan con bases de datos internas que contienen información personal, así como los peligros de depender de proveedores externos”, y añadió que las prácticas de gobernanza y seguridad deben ser “sólidas, exhaustivas y estar integradas” para resistir el aprovechamiento de vulnerabilidades por parte de actores maliciosos.
El ataque de 2022 permitió a un actor de amenazas acceder a datos como nombres, fechas de nacimiento, direcciones, teléfonos, correos electrónicos, números de pasaporte y licencias de conducir, así como identificadores gubernamentales y de fuerzas armadas. Aunque la empresa aseguró que no se comprometieron contraseñas ni datos de pago, una parte de la información fue publicada en foros clandestinos, donde el presunto responsable llegó a disculparse y retirar parte de lo filtrado.
Las primeras investigaciones apuntaron a que la intrusión se facilitó por una API mal configurada que no requería autenticación, lo que permitió extraer grandes volúmenes de datos sin obstáculos técnicos significativos.
La AIC ha solicitado al Tribunal Federal la imposición de una sanción económica por cada una de las supuestas infracciones, que podrían alcanzar hasta 2,22 millones de dólares australianos por caso. Esto significa que, de prosperar la demanda, Optus se enfrentaría a una multa potencial de dimensiones históricas. No obstante, las sanciones máximas de 50 millones de dólares por infracción introducidas en diciembre de 2022 no se aplicarán, ya que los hechos ocurrieron antes de ese cambio legislativo.
En respuesta, Optus afirmó que está revisando las acusaciones y reiteró sus disculpas a los clientes y a la comunidad. “Seguimos reconociendo que, a medida que evoluciona el entorno de amenazas cibernéticas, la seguridad de nuestros clientes y su información personal nunca ha sido más importante”, indicó la compañía, comprometiéndose a seguir invirtiendo en la ciberseguridad al interior de su organización.