La Comisión Nacional de los Mercados y la Competencia (CNMC) ha sido víctima de un ciberataque masivo, dándose una exfiltración de 2.000 millones de registros de datos sensibles correspondientes a titulares de telefonía móvil que el organismo custodia.
Los ciberdelincuentes se habrían apropiado de 250 GB de datos de los abonados a las líneas telefónicas españolas. Los detalles que han caído en manos de los actores de amenazas se desconocen por ahora.
La Audiencia Nacional ha aceptado la competencia para investigar el incidente. Así la jueza María Tardón considera que los hechos estarían tipificados como "delito de ataques informáticos y contra la seguridad nacional".
Existían ciertas discrepancias sobre cuál era el organismo encargado de la investigación, puesto que el Ministerio Fiscal había señalado que la CNMC no puede calificarse como una institución del Estado. El caso había sido investigado por el Juzgado de Instrucción 27 de Madrid, pero se habría escalado dada su importancia.
Tardón, tras analizar la doctrina del Tribunal Supremo, no obstante, considera que la CNMC sí debe concebirse como un alto organismo de la nación.
"Nos encontramos ante un ciberataque masivo contra una entidad que, por su incardinación en la estructura del Estado y su esencial función en los términos indicados, supone una grave e indudable afectación institucional, en un ámbito tan particularmente sensible y relevante para su normal funcionamiento como el del control del correcto funcionamiento, la transparencia y la existencia de una competencia efectiva en todos los mercados y sectores productivos, en beneficio de los consumidores y usuarios”, ha comentado la magistrada.
La CNMC custodia los Registros de Numeración y Operadores de Telecomunicaciones, perteneciente a la Asociación de Operadores para la Portabilidad Móvil, con un servicio donde se puede saber a qué compañía pertenece cada número, así como el Sistema de gestión de datos de abonado (SGDA), accesibles para algunas entidades autorizadas, como servicios de emergencia y los prestadores de servicios de guías y de consulta telefónica sobre números de abonado.
Según explica Sancho Lerena, CEO de la tecnológica española Pandora FMS, “incidentes como este demuestran que la confianza ciudadana está directamente ligada a cómo se gestionan los datos”. El experto en gestión IT y seguridad subraya que “la transparencia debe ser tan importante como la tecnología”.
"No se trata de esperar a que algo pase, sino de tener los sistemas preparados para actuar antes de que ocurra. Un ataque de esta magnitud pone en evidencia las carencias en la gestión proactiva de ciberseguridad”, reafirma.
Sin información sobre los responsables
Por el momento no hay información sobre quiénes son los autores del ciberataque. Tampoco se sabe si estos han exigido un rescate a la Comisión y a cuánto habría ascendido su cuantía.