Contexto y hechos
El 11 de abril de 2025, la Agencia Española de Protección de Datos (AEPD) inició un procedimiento sancionador contra Aire Networks del Mediterráneo, S.L. tras la reclamación presentada por un usuario cuya línea telefónica fue cortada y, posteriormente, utilizada para realizar duplicados de tarjeta SIM (eSIM) sin su autorización. Este incidente permitió a los ciberdelincuentes acceder a la banca online del afectado y realizar transferencias bancarias no autorizadas. El reclamante denunció los hechos tanto ante la policía como ante su entidad bancaria, y comunicó a Aire Networks la sospecha de una brecha de seguridad que habría facilitado la suplantación de identidad y el acceso a datos sensibles.
Investigación y respuesta de Aire Networks
Aire Networks confirmó que la brecha de seguridad se produjo debido a la filtración de credenciales de acceso (usuarios y contraseñas) de cuatro agentes comercializadores y un empleado. Los atacantes utilizaron estas credenciales para acceder a la extranet corporativa (Oficina Virtual) y solicitar duplicados de eSIM, lo que facilitó el acceso a los datos personales y financieros de varios clientes. Aire Networks notificó la brecha a la AEPD y colaboró con las autoridades, aportando documentación sobre los contratos y medidas de seguridad implementadas, así como sobre las acciones tomadas tras el incidente.
Medidas adoptadas tras la brecha
Tras detectar los accesos no autorizados, Aire Networks aplicó diversas medidas de refuerzo, entre ellas:
- Bloqueo de las eSIM duplicadas y restablecimiento del servicio a las líneas afectadas.
- Bloqueo de las direcciones IP desde las que se realizaron los accesos ilícitos.
- Forzado de cambio de contraseñas a todos los usuarios afectados.
- Implementación de doble factor de autenticación (2FA) para el acceso a la extranet.
- Denuncia de los hechos ante la Fiscalía y colaboración con las Fuerzas y Cuerpos de Seguridad del Estado.
Alcance de la brecha y deficiencias detectadas
La investigación de la AEPD determinó que la brecha afectó a los datos personales de al menos 40 personas, incluyendo información identificativa, de contacto y bancaria. Se identificaron deficiencias en las medidas de seguridad previas al incidente, como la ausencia de restricciones geográficas en los accesos (por IP), la falta de verificación de la correspondencia del correo electrónico en los duplicados de SIM, y la no desactivación de credenciales de empleados en situación de baja laboral. Además, la implantación del doble factor de autenticación se realizó de manera reactiva, tras el incidente.
Tipificación y sanción
La AEPD consideró que Aire Networks había vulnerado el principio de integridad y confidencialidad del artículo 5.1.f) del Reglamento General de Protección de Datos (RGPD), al no garantizar una seguridad adecuada de los datos personales. Se propuso una sanción administrativa de 100.000 euros, con posibilidad de reducción por reconocimiento de responsabilidad y pago voluntario. Aire Networks se acogió a ambas reducciones, abonando finalmente una sanción de 60.000 euros, lo que implicó el reconocimiento de los hechos y la terminación del procedimiento sancionador.
Cierre del procedimiento
La resolución de la AEPD declara la comisión de la infracción, confirma la sanción y da por finalizado el procedimiento tras el pago voluntario y el reconocimiento de responsabilidad por parte de Aire Networks. La resolución es firme en vía administrativa y se notifica a las partes interesadas.
