Una de las mayores multas impuestas por la Agencia Española de Protección de Datos (AEPD) en toda su historia se está debatiendo ahora mismo en la Audiencia Nacional. En un caso sin precedentes en España, la cadena de tiendas de tecnología y telefonía The Phone House se juega tener que pagar o no una sanción de 6,5 millones de euros impuesta por la Agencia Española de Protección de Datos (AEPD) el año pasado.

¿El motivo? La filtración y secuestro de aproximadamente 100 GB de datos personales de hasta 13 millones de clientes, ex-clientes, empleados y proveedores.

La información robada incluía datos como nombres completos, DNI, direcciones, correos electrónicos, números de teléfono, nacionalidades, fechas de nacimiento, datos bancarios e incluso detalles de los dispositivos y productos contratados, como seguros y códigos IMEI de teléfonos móviles.

El ciberataque: secuestro de datos y filtración masiva

El origen de la controversia remonta a abril de 2021, cuando The Phone House fue víctima de un devastador ataque de ransomware perpetrado por el grupo Babuk, conocido en la 'deep web' por secuestrar información de empresas. Los hackers tomaron control de los sistemas de la empresa, cifrando archivos y trasladando la información a servidores externos.

Los ciberdelincuentes exigieron el pago de un rescate no revelado para evitar la publicación de información sensible en la deep web. Tras la negativa de la compañía a ceder al chantaje, Babuk publicó la información robada, exponiendo a millones de personas a riesgos de fraude y suplantación de identidad.

…