Bizum, usada por millones de personas en España como método de pago instantáneo, se encuentra en el centro de una polémica grave. Una vulnerabilidad permitió que los datos de más de 20.000 usuarios quedaran expuestos y la compañía optó por no informar a los afectados.
No fue un ataque sofisticado, sino un fallo sencillo que dejó al descubierto la facilidad con que se podía automatizar la extracción de información. Al iniciar un envío de dinero, Bizum mostraba, para confirmar la operación, las iniciales, los apellidos y el número de teléfono del destinatario. Un atacante aprovechó esta funcionalidad, configuró un script de solicitudes masivas y extrajo los datos de 20.070 usuarios en apenas dos horas.
MÁS DE 20.000 TELÉFONOS EXPUESTOS Y BIZUM DECIDIÓ NO CONTARLO
Lo que agrava aún más la situación es la respuesta de la empresa. Aunque la vulnerabilidad fue advertida desde 2020, Bizum no confirmó la brecha hasta 2022, momento en el que ya circulaban los datos en redes y foros. Los usuarios no fueron avisados bajo el argumento de que el riesgo para sus derechos era "bajo".
Sin embargo, la Agencia Española de Protección de Datos (AEPD) consideró que la empresa incumplió el artículo 32 del Reglamento General de Protección de Datos (RGPD) al no tener medidas técnicas y organizativas suficientes.
EL ORIGEN DEL PROBLEMA, UNA "PUERTA" DEMASIADO ABIERTA POR BIZUM
El origen del problema radica en una "puerta" demasiado abierta. El sistema permitía realizar hasta 30 peticiones de envío canceladas como límite antes de bloquearse. Aun así, el atacante logró evadirlo por medio de la plataforma web de un banco adherido al servicio e implementar el script. En ese breve periodo consiguió recopilar los datos mencionados.
En el expediente EXP202318538 de la AEPD, vía Banda Ancha, Bizum asegura que contrató a una empresa especializada para eliminar esos datos robados de la dark web, y actualmente no se muestran en ningún sitio.
También explica que no avisó los afectados, al considerar que con esos datos no se puede cometer ningún fraude, y hay un riesgo bajo de ser contactados. Es una decisión bastante cuestionable, porque si se filtran los datos personales de una persona, aunque sea una filtración de bajo riesgo, tiene derecho a saberlo. Por simple respeto a esos clientes.
BIZUM, MULTADA CON 80.000 EUROS
La sanción no es simbólica. Y es que Bizum ha sido multada con 80.000 euros (o hasta 100.000 según la fuente) además de tener que demostrar que ha adoptado las medidas necesarias para reforzar la seguridad de sus sistemas.
Aunque no se conocen todos los detalles, los registros extraídos incluían números de teléfono móvil, iniciales del nombre o los apellidos y apellidos completos en algunos casos. La muestra difundida en la Dark Web alcanzaba los 2.634 registros y los números afectados se estiman entre los que comienzan por "600 000 000" y "600 007 494".
Aunque Bizum asegura que "el riesgo actual es bajo" y que no se han detectado fraudes vinculados directamente a esta fuga, la situación pone en alerta a todos los usuarios. Con un número de teléfono y datos personales básicos, un ciberdelincuente puede lanzar campañas de suplantación (phishing) o llamadas abonadas a engaños y falsas identidades. Los expertos recomiendan extremar la precaución ante mensajes o correos sospechosos.
Como parte de la resolución, Bizum ha tenido que contratar a una empresa especializada para eliminar las réplicas del contenido filtrado y deberá acreditar ante la AEPD la implementación de nuevas medidas técnicas para restringir el acceso indebido a datos privados.
Si crees que puedes ser uno de los afectados (aunque el riesgo actual es bajo) es recomendable que extremes la precaución ante posibles SMS o llamadas fraudulentas que intenten suplantar la identidad de tu banco.
