La Information Commissioner´s Office del Reino Unido ha emitido una multa por 400.000 libras (442.812 euros) a la operadora de telecomunicaciones TalkTalk en la que es hasta el momento la mayor multa por violación de las leyes de protección de datos que imponen las autoridades británicas.
El ciberataque
En octubre de 2015 TalkTalk sufrió un ciberataque en el que sustrajeron datos personales de 160.000 clientes.
Los cibercriminales aprovecharon el uso de software de base de datos obsoleto en el que se almacenaban datos de una compañía que TalkTalk había adquirido en 2009. La técnica usada es muy común y se denomina inyección SQL por la que se introduce código a través de la propia página web de la compañía con el objetivo de descargar los contenidos.
Los datos obtenidos por los atacantes incluyen nombres, direcciones email y físicas, fechas de nacimiento y datos bancarios de 16.000 de ellos.
La decisión de las autoridades británicas
La ICO ha dictaminado que TalkTalk es responsable de no haber implementado las medidas de seguridad adecuadas que hubiesen prevenido un ataque de este tipo y que esto contraviene el principio séptimo del Acta de Protección de Datos del Reino Unido. Asimismo consideran que no se revisaron las bases de datos heredadas de la empresa Tiscali, a la que compraron en 2009, para identificar posibles vulnerabilidades.
La ICO también ha dictaminado que el software utilizado por la compañía estaba obsoleto y que contenía errores de código que permitieron a los atacantes el acceso a las bases de datos. La solución para estas vulnerabilidades está disponible desde hace años y sin embargo la empresa no lo aplicó propiciando que se produjese el ataque.
La directora del ICO Elizabeth Denham ha declarado que «el fallo de TalkTalk a la hora de implementar las medidas de seguridad más básicas permitió a los hackers penetrar el sistema de TalkTalk con facilidad… TalkTalk debería haber hecho más para proteger la información de sus clientes. No lo hizo y hemos tomado medidas».
La multa es la más alta jamás emitida por la autoridad de protección de datos británica que actualmente tiene un límite máximo de sanciones de 500.000 libras. Con la entrada en vigor del Reglamento General de Protección de Datos en mayo de 2018 la cuantía de las multas por protección de datos podrán llegar hasta los 20 millones de euros o el 4% de la facturación de la compañía.
