La Comisión de Información de Australia (AIC) ha iniciado una acción civil contra la empresa de telecomunicaciones Optus debido a una significativa brecha de datos ocurrida en 2022, que expuso información personal de aproximadamente 9.5 millones de australianos.

La demanda acusa a Optus de no haber implementado medidas de seguridad razonables para proteger la información sensible de sus clientes contra accesos y divulgaciones no autorizadas, incumpliendo así la Ley de Privacidad de Australia de 1988. Tras una investigación exhaustiva, la AIC concluyó que los protocolos de ciberseguridad de Optus no eran adecuados para la sensibilidad y volumen de los datos personales que manejaba.

La Comisionada de Privacidad australiana, Carly Kind, resaltó los riesgos asociados con los sitios web y dominios externos que interactúan con bases de datos internas que contienen información personal, así como las vulnerabilidades vinculadas al uso de proveedores terceros. Subrayó la necesidad de que todas las organizaciones que manejan datos personales establezcan prácticas sólidas y profundamente integradas de gobernanza y seguridad para evitar que los actores maliciosos las exploten.

La AIC solicitó al Tribunal Federal que imponga una multa civil a Optus, alegando una infracción de la Ley de Privacidad por cada persona afectada por la brecha. El tribunal puede imponer multas de hasta 2.22 millones de dólares australianos por cada infracción, lo que podría derivar en una sanción económica muy elevada para Optus.

Aunque en diciembre de 2022 se aumentó la multa máxima por infracción a 50 millones de dólares australianos, este aumento no aplica en este caso, ya que las violaciones ocurrieron entre el 17 de octubre de 2019 y el 20 de septiembre de 2022. La AIC señaló que será el tribunal quien determine si se impone la multa y el monto correspondiente.

Detalles de la brecha de datos de 2022

Optus, con sede en Sídney, hizo pública la ciberdelincuencia en septiembre de 2022, revelando que los datos de casi 10 millones de clientes actuales y antiguos pudieron haber sido comprometidos.

La información robada incluía datos personales altamente sensibles, tales como:

• Nombres completos, fechas de nacimiento, direcciones domiciliarias, números de teléfono y correos electrónicos
• Identificadores gubernamentales, incluyendo números de pasaporte, licencias de conducir, tarjetas de Medicare
• Información de certificados de nacimiento y matrimonio
• Datos de identificación militar, fuerzas de defensa y policía

A pesar de la brecha, Optus aseguró haber impedido que los atacantes accedieran a datos de pago o contraseñas de cuentas.

Tras el ataque, los ciberdelincuentes exigieron un rescate para no vender la información robada en línea. Sin embargo, poco después, un hacker que asumió la responsabilidad eliminó parte de los datos robados de un foro de filtraciones, disculpándose con aproximadamente 10,000 australianos cuyos datos fueron expuestos.

La brecha se produjo debido a una API mal configurada que permitió el acceso no autorizado al conjunto de datos sin necesidad de autenticación.

Respuesta de Optus

Optus emitió un comunicado donde indica que está revisando las acusaciones de la AIC y reafirmó su compromiso con la protección de los datos de sus clientes.

“Optus se disculpa sinceramente con nuestros clientes y con la comunidad en general por el incidente cibernético de 2022,” declaró la empresa. “Trabajamos continuamente para salvaguardar la información de nuestros clientes y hemos estado minimizando activamente cualquier impacto derivado de este ataque.”

Optus también reconoció la naturaleza evolutiva de las amenazas cibernéticas y enfatizó sus inversiones continuas en la seguridad de sus sistemas, datos de clientes y capacidades de defensa cibernética.

Este caso subraya la importancia crítica de mantener una gobernanza sólida en ciberseguridad, especialmente para organizaciones que manejan grandes volúmenes de datos personales sensibles. El resultado de este proceso legal probablemente tendrá un impacto significativo en la aplicación de la protección de datos en Australia y destacará los desafíos constantes que enfrentan las empresas para defenderse de ataques cibernéticos cada vez más sofisticados.

Fuente: https://www.infosecurity-magazine.com/news/australian-regulatory-sues-optus