FACUA denuncia la filtración masiva mientras Adigital niega vulneración alguna de sus sistemas. Un total de 600 mil nombres, DNI y direcciones de domicilios habrían sido expuestos en la «dark web».
La Lista Robinson, un servicio de exclusión publicitaria gestionado por la Asociación Española de Economía Digital (Adigital), podría haber sufrido un ciberataque masivo que habría expuesto más de 600.000 datos personales de usuarios inscritos en España. Según la denuncia presentada por FACUA-Consumidores en Acción ante la Agencia Española de Protección de Datos, la filtración incluye información sensible como nombres y apellidos, números de DNI y direcciones de domicilios particulares. La brecha de seguridad se reveló por primera vez por el foro BreachForum y posteriormente difundida por el portal Daily Dark Web, que informó que un ciberdelincuente había publicado miles de datos personales en la internet profunda como resultado del ataque informático.
➡️ Te puede interesar: Curso de Prevención y Gestión de Ciberriesgos y Ciberataques
Hasta el momento se desconoce el alcance real y el número exacto de afectados por esta exposición de datos en foros de la dark web. FACUA ha destacado la gravedad de esta situación, advirtiendo que los datos filtrados podrían permitir a los ciberdelincuentes enviar comunicaciones «totalmente personalizadas» utilizando información privada para ganar la confianza de los usuarios, facilitando así la comisión de posibles delitos de estafa. La ironía de la situación es notable, ya que precisamente la Lista Robinson se creó para proteger a los consumidores del acoso publicitario.
Ante estos hechos, FACUA ha instado a Adigital a proporcionar las explicaciones pertinentes y ha solicitado a la Agencia Española de Protección de Datos que inicie una investigación para confirmar la existencia de la filtración masiva. Además, la organización de consumidores pide que, si se detectan incumplimientos, se abra un expediente sancionador contra Adigital por vulnerar varios preceptos básicos del Reglamento General de Protección de Datos (RGPD) de la Unión Europea. Las sanciones por estas infracciones pueden alcanzar los 10 millones de euros o «una cuantía equivalente al 2% como máximo del volumen de negocio total anual global del ejercicio financiero anterior de la empresa», lo que podría suponer un duro golpe para la entidad gestora del servicio.
Adigital asegura que la Lista Robinson «no ha sido atacada»
La asociación ha negado rotundamente que se haya producido un ciberataque a los sistemas de Lista Robinson, el servicio que permite a los usuarios evitar publicidad o llamadas comerciales no deseadas. «La Lista Robinson no ha sido vulnerada. En ningún momento se ha producido ningún tipo de acceso no autorizado ni hackeo a los sistemas de Lista Robinson», ha asegurado Adigital en un comunicado oficial. Esta declaración surge como respuesta a la denuncia presentada por FACUA ante la Agencia Española de Protección de Datos (AEPD) por una presunta filtración masiva de datos personales de usuarios inscritos en el servicio.
➡️ Te puede interesar: Curso de Concienciación en Ciberseguridad
Respecto al archivo filtrado que ha generado la controversia, Adigital ha explicado que, según los análisis que están realizando, «se trata de una base de datos que corresponde a una tercera empresa y con una antigüedad mínima de 7 años». La asociación ha enfatizado que siguen «analizando la información disponible», pero en todo caso, reiteran que «la filtración no se habría producido desde Lista Robinson». Además, ha destacado que desde la entrada en vigor del Reglamento General de Protección de Datos (RGPD), el servicio opera bajo un «sistema altamente seguro de doble ciego, que emplea técnicas de pseudonimización y mediante el cual ninguna empresa tiene acceso a los datos de los ciudadanos inscritos en la lista de exclusión».
A pesar de negar su responsabilidad en el incidente, Adigital ha comunicado que ya ha informado a las autoridades competentes sobre la situación. «Aunque no se trata de una brecha de seguridad en nuestro sistema, ayer comunicamos los hechos a la Agencia Española de Protección de Datos y al Instituto Nacional de Ciberseguridad (INCIBE) y nos hemos puesto a su disposición para colaborar en la investigación de los hechos», ha señalado el organismo. Por su parte, FACUA ha solicitado a la AEPD que investigue si realmente se ha producido la filtración y si Adigital ha cumplido con «todas las actuaciones que recoge la normativa europea y española vigente», instando a la apertura de un expediente sancionador en caso de detectar incumplimientos.
➡️ Si quieres adquirir conocimientos sobre Ciberseguridad, te recomendamos el Máster Profesional en Ciberseguridad, Ciberinteligencia y Ciberdefensa de LISA Institute.
