El envío de credenciales sin cifrar sigue saliendo caro. La Agencia Española de Protección de Datos (AEPD) ha ratificado una sanción de 10.000 euros contra la operadora Free Technologies Excom (Excom) por una brecha de seguridad grave que exponía directamente la privacidad de sus clientes.
Un error de configuración con datos sensibles en juego
El caso se originó en la primavera de 2024. Un cliente de la compañía recibió un correo electrónico donde su nombre de usuario y su contraseña aparecían escritos directamente en el cuerpo del mensaje, sin ningún tipo de ocultación o segundo factor de autenticación (2FA).
Esta práctica resulta especialmente crítica dado que, con esas claves, cualquier tercero podría haber accedido al área de cliente de la operadora, donde se aloja información de alto impacto:
- Documentación de identidad (DNI) y domicilios.
- Historial de consumo telefónico y facturación.
- Datos bancarios personales.
La defensa del «error humano» no convence a la Agencia
Aunque la operadora intentó justificar el incidente como un fallo humano aislado y corrigió el procedimiento tras la reclamación, la AEPD ha sido tajante: la seguridad debe estar garantizada desde el diseño del tratamiento de datos, no como una reacción a posteriori.
La resolución subraya que el simple hecho de enviar claves por canales inseguros ya supone una infracción del Reglamento General de Protección de Datos (RGPD), independientemente de si un hacker llegó a entrar o no en la cuenta del usuario. Para el organismo, este suceso evidencia que las medidas técnicas de la empresa eran insuficientes para un tratamiento masivo de información.
Atenuantes y vía judicial
Para fijar la cuantía de la multa, se ha tenido en cuenta la negligencia en la gestión de datos sensibles, aunque la cifra final se moderó gracias a que la compañía actuó con rapidez para cambiar el sistema de gestión de contraseñas una vez detectado el fallo. Excom tiene ahora la posibilidad de recurrir esta decisión ante la Audiencia Nacional.
