Brecha de seguridad de Bizum: datos de clientes robados, fechas y cómo saber si eres uno de los afectados

Actualmente, nadie se libra, aunque lo parezca. Bizum siempre se ha vendido como una herramienta segura y, lo cierto es que ha salido indemne de cualquier tipo de problema, hasta que ahora todo el mundo se ha enterado de algo bastante peligro.

Una brecha de seguridad descubierta en 2023 expuso información de más de 20.000 usuarios, una fuga totalmente encubierta de la que nadie sabía nada hasta que parte de esos datos apareció en la Dark Web.

Contextualizando, ahora que se han podido conocer todos los datos es que toda esta truculenta historia empieza tres años antes. En 2020, un usuario detectó que el sistema podía ser explotado de forma sencilla: bastaba con un script que simulaba hacer envíos para recopilar nombres y teléfonos de otros usuarios antes de cancelar la operación. 

Este tipo de práctica se conoce como scraping, y aunque en principio parece que no va a llegar la sangre al río, puede crear bases de datos completas con información personal.

Una mujer denuncia que la IA ya genera robos en el mundo real: "Parecía un vídeo auténtico"

El usuario dio la voz de alarma de la vulnerabilidad a Bizum y la Agencia Española de Protección de Datos (AEPD) se interesó por el caso. La empresa aseguró entonces que ya había tomado medidas, como bloquear las cuentas que hicieran más de 30 intentos fallidos seguidos. La AEPD dio el caso por cerrado. Pero meses después, lo peor se ha confirmado: un ciberdelincuente logró explotar exactamente esa misma vía.

En septiembre de 2022, desde la web de uno de los bancos asociados al sistema Bizum, se registró una actividad extraña que solo duró dos horas, pero fue suficiente para filtrar los datos de 20.070 usuarios. El atacante no robó dinero ni contraseñas, pero sí nombres, iniciales y números de teléfono. Lo preocupante es que nadie fuera de la empresa se enteró hasta mucho después.

Cómo se descubrió la filtración y qué ha dicho Bizum

Pasó casi un año hasta que se supo la magnitud del problema. En noviembre de 2023, una base de datos con 2.634 registros —extraídos de aquella brecha— apareció a la venta en la Dark Web. Los números iban del 600 000 000 al 600 007 494, y fue entonces cuando Bizum, ya con la evidencia pública, notificó a la AEPD del problema.

La Agencia determinó que la empresa había tardado demasiado en detectar lo sucedido y que su sistema de alertas internas falló totalmente. Además, criticó la falta de comunicación a los usuarios, ya que Bizum decidió no avisarles argumentando que el riesgo era bajo. Según la compañía, con solo nombre e iniciales no podía cometerse estafa alguna.

"No podrá utilizar su tarjeta": así es la estafa que te vacía la cuenta en segundos

Sin embargo, los expertos no piensan igual. Cualquier dato personal, por simple que sea, puede usarse para crear o cruzar información con otras filtraciones. Afirman que no avisar a los usuarios rompe la confianza, aunque el daño parezca mínimo.

La AEPD sancionó a Bizum con 100.000 euros, reducidos finalmente a 80.000 por pago voluntario. Pero además le impuso una serie de obligaciones: adoptar medidas más avanzadas, limitar el acceso a los datos personales a lo estrictamente necesario y demostrar ante el organismo que ha corregido las brechas que dieron pie al problema.

Nueva estafa golpea a alumnos y exalumnos de la Universidad Complutense: te vacían la cuenta con un correo falso

Qué datos se filtraron y cómo saber si estás entre los afectados

La buena noticia es que no se robaron contraseñas ni información bancaria, solo nombres e iniciales asociados a los números de teléfono. Pero eso no quiere decir que todo esto no pueda tener consecuencias. Si alguien consigue relacionar tu número con tu nombre, puede hacerse pasar por contactos tuyos o cosas bastante peores.

Antes comentado, los números afectados van del 600 000 000 al 600 007 494. Si el tuyo está en esa franja y has usado Bizum, lo más prudente es mantenerse alerta de lo que pueda ocurrirte, aunque no tiene por qué pasar nada. 

Bizum asegura que contrató a una empresa especializada en ciberinteligencia para eliminar los archivos de la red y borrar sus rastros. Según la compañía, actualmente no se pueden encontrar copias accesibles de los datos filtrados.

Aun así, las autoridades recomiendan vigilar mensajes o llamadas que pidan reactivar tu cuenta de Bizum, confirmar pagos o reenviar códigos. Bizum nunca pide esa información por teléfono ni por SMS.