Orange ha confirmado que uno de sus proveedores ha sufrido un ciberataque en los últimos días, lo que ha permitido el acceso no autorizado a los datos de algunos de sus clientes. El acceso a los sistemas de Orange ha provocado que el hacker haya conseguido datos personales como nombre y apellidos de los clientes, así como dirección postal, teléfono, correo electrónico, DNI, fecha de nacimiento, nacionalidad o, en los casos más graves, el código IBAN de la cuenta bancaria. La mayor preocupación para los clientes es saber ahora si sus datos se han visto afectados por este ataque a la ciberseguridad y cómo actuar ante ello.
La compañía reconoce que la seguridad de algunas informaciones personales de sus clientes se puede haber visto comprometida sin conocer una cifra aproximada de los clientes afectados. No obstante, ha elaborado una guía con las dudas y preguntas más frecuentes para sus clientes, detallando quiénes son los que se han visto afectados por el ciberataque y cómo pueden saberlo. Orange defiende que los afectados son solo aquellos que han recibido una comunicación sobre el incidente por parte de la compañía, ya sea por SMS o por correo electrónico. Es decir, si no has recibido un mensaje de tu compañía puedes estar tranquilo: tus datos no están afectados por el hackeo a los sistemas de Orange.
En caso de haber sido uno de los afectados por el ciberataque, Orange explica que los datos a los que habría podido acceder el hacker son solo los identificados en la comunicación que el cliente ha recibido en las últimas horas por SMS o correo electrónico. Según la compañía, pueden ir desde solo datos identificativos o personales hasta datos de facturación o comerciales, como el número de cuenta bancaria del cliente.
En esta línea, la teleco defiende que los datos bancarios habrían sido atacados solo si se especifica en la comunicación remitida a los clientes afectados. Así, asegura que “en ningún caso” se habrían visto comprometidos los datos relativos a las tarjetas de crédito o débito, contraseñas y otras credenciales de acceso.
Consecuencias del ciberataque: desde publicidad invasiva hasta robos
Orange ha querido advertir también a sus clientes de las posibles consecuencias del ciberataque, desde la más leve -enviar publicidad sin el consentimiento de la víctima del ciberataque-, hasta los casos más graves: la venta de datos personales a terceros, la suplantación de identidad o la estafa con el nombre de la víctima. La teleco advierte de que, incluso, el hacker podría robar dinero gracias a la información obtenida a partir del acceso a su cuenta bancaria o tarjetas de crédito.
Para evitar mayores problemas, la teleco recomienda a sus clientes extremar las medidas de precaución en los próximos meses, especialmente sobre cualquier transacción o comunicación recibida desde la compañía. En palabras de la propia compañía, “asegurarse sobre su veracidad”. En caso de que, efectivamente, el hacker haya accedido al código IBAN -hecho que Orange debería haberle notificado en caso de estar afectado- la teleco recomienda contactar con el banco para explicar lo sucedido y que sea la entidad quien tome las medidas oportunas en estos casos.
Además de estos consejos sobre ciberseguridad, Orange recomienda denunciar a la policía o al Instituto Nacional de Ciberseguridad (INCIBE) en caso de detectar cualquier actividad considerada sospechosa. Asimismo, ha puesto a disposición de los clientes afectados el teléfono gratuito 900 901 564 para solucionar cualquier duda sobre el incidente. Orange también ha puesto a disposición de sus clientes el correo orangeproteccion.datos@es.orange.com de la Oficina del Delegado de Protección de Datos.
La compañía defiende la transparencia en la relación con sus clientes, así como su compromiso con la privacidad y la seguridad de su negocio, lo que habría llevado a la teleco a poner en marcha un plan de emergencia en el momento de conocer el ciberataque. Un plan para frenar el ataque a su ciberseguridad, procediendo “de inmediato” al corte del acceso a los sistemas de la compañía por parte de los proveedores, tal y como ha podido conocer ElPlural.com. Orange también ha puesto en marcha un protocolo de actuación interno y externo para informar “de forma urgente” a los clientes afectados sobre medidas preventivas.
¿Qué están haciendo los expertos en ciberseguridad?
Los especialistas de ciberseguridad de Orange trabajan de manera continuada para vigilar las redes y garantizar así la máxima protección de los datos de los clientes de la compañía naranja. Estas no han sido las únicas actuaciones de la teleco en las últimas horas, tras conocer el hackeo, sino que también ha notificado los hechos a la Agencia Española de Protección de Datos y a la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional, en cumplimiento de la legalidad y de la normativa de protección de datos personales vigentes.
ElPlural.com se ha puesto en contacto con Luis Corrons, Security Evangelist de Avast, que explica que se trata de "un ataque a la cadena de suministro de Orange, ya que la víctima del ciberataque ha sido uno de los proveedores de Orange y no la propia Orange". "Aún así, los ciberdelincuentes han tenido acceso a los datos de los clientes de Orange, quienes han sido alertados vía SMS o correo electrónico", advierte el experto en ciberseguridad.
Corrons manda un mensaje de calma a los afectados, asegurando que "no se han robado contraseñas ni credenciales", como si ha ocurrido en ciberataques de otro tipo. "Este tipo de ciberataques son más difíciles de detectar y evitar, ya que no dependen directamente de la compañía, sino de los estándares de seguridad de los proveedores que elija", defiende.
Asimismo, el experto recomienda a las empresas que "se aseguren de elegir cuidadosamente a sus proveedores ya que, cualquier riesgo de brecha asociada a ellos, tendrá consecuencias. Es imprescindible escoger solo proveedores con altos estándares. Igual de importante es establecer medidas de seguridad internas, como proteger la cadena de suministro y asegurarse de que las empresas con las que se trabaja están igual de comprometidos en dicha protección".
