Los datos de 13 millones de clientes de The Phone House se han hecho públicos. La cadena de tiendas de telefonía móvil ha sufrido un ciberataque de ‘ransomware’ y los autores del ataque han publicado en la Dark Web, la llamada Internet Oscura, datos personales de 13 millones de personas, entre clientes y empleados de la compañía. Se trata de información personal como nombre completo, correo electrónico, fecha de nacimiento, número de teléfono, dirección del domicilio, nacionalidad, documento de identidad, códigos IMEI de los dispositivios, servicios contratados e incluso datos bancarios. The Phone House, eso sí, ha asegurado que entre los datos nos hay tarjetas bancarias ni contraseñas, dado que la compañía no almacena esta información.
"La descarga de dicha información sería parcial y no afectaría a la totalidad de los datos tratados por parte de Phone House, pero es posible que algunos de tus datos se hayan visto comprometidos", ha admitido la compañía. Además, asegura que "ha notificado los hechos a la Agencia Española de Protección de Datos, estando en contacto desde el primer momento, con la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional, ante la que se ha presentado la correspondiente denuncia". Asimismo, Phone House se encuentra investigando los hechos junto con una compañía de ciberseguridad.
Muchos clientes de The Phone House, se preguntan si sus datos estarán entre la filtración, cómo pueden saberlo y, sobre todo, en tal caso, qué hacer.
Cómo saber si tus datos son públicos
Si alguna vez, aunque haya sido hace mucho tiempo, has comprado un móvil o cualquier otra cosa en The Phone House, o te has registrado como usuario, conviene que compruebes si tus datos están entre los filtrados.
Según el RGPD, la ley de protección de datos, Phone House debería notificar a todos los usuarios afectados, sea vía correo, telefónicamente o a través de otro canal. Pero el usuario también puede comprobarlo por su lado.
No es necesario entrar en la dark web, algo que, por otro lado, no es sencillo para los usuarios. Pero hay una web de servicio que permite hacer la comprobación. Se llama Have I been pwned?, que significa algo así como ¿he sido engañado?.
Pues bien, si entras en haveibeenpwned.com y en el campo de búsqueda escribes tu correo electrónico, podrás comprobar fácilmente si tus datos han sido filtrados
Tras escribir tu correo electrónico, pulsa en el botón ‘pwned?’ para ver el resultado. Si la pantalla por debajo aparece en verde, son buenas noticias. Indica que el correo electrónico no se ha incluido en ninguna filtración masiva de datos. Ni en la de Phone House, ni en ninguna otra.
Por el contrario, si la pantalla aparece en rojo, es porque sí se ha filtrado tu correo. En este caso, justo por debajo, explicará cual es la filtración que te ha afectado y cuando se ha producido. Esta web incluye todas las filtraciones producidas, es decir, todos los casos en los que los datos personales se han podido ver comprometidos, incluido The Phone House, pero hay muchos más.
¿Qué hacer?
Una vez que sepas que tus datos han sido comprometidos, no estaría de más ponerte en contacto con The Phone House para saber qué datos exactamente han sido comprometidos.
Al margen de esto puedes poner una reclamación ante la Agencia Española de Protección de Datos (AEPD) por una vulneración de sus derechos de protección de datos.
Debemos estar especialmente pendientes de los correos que recibimos, por si nos entraran correos de remitentes desconocidos que nos solicitan que pulsemos algún enlace o nos descarguemos un archivo.
También es recomendable ponerse con nuestra entidad financiera y estar muy pendientes de algún cargo sospechoso.
¿Puedes reclamar una compensación?
El artículo 82 del Reglamento General de Protección de Datos (RGPD) establece que toda persona que haya sufrido daños y perjuicios materiales o inmateriales como consecuencia de una infracción de la citada ley tiene derecho a recibir del responsable o el encargado del tratamiento una indemnización por los daños y perjuicios sufridos. No obstante, para recibir una compensación se deben dar dos supuestos, según Legalitas:
- Que la brecha de seguridad haya sido consecuencia de una infracción por parte de la empresa (por ejemplo, no haber tomado las medidas necesarias para proteger los datos) y que esta sea la causa de que el ataque haya prosperado.
- Que haya una relación causa-efecto clara entre el perjuicio sufrido y esa infracción (por ejemplo, que alguien esté haciendo un mal uso de los datos filtrados, realizando acciones como solicitar un crédito, abrir una cuenta bancaria, contratar suministros o realizar compras fraudulentas).