- Una brecha permitió extraer nombres e iniciales y teléfonos de 20.070 cuentas de Bizum.
- Una muestra de 2.634 registros apareció en la dark web con números entre 600000000 y 600007494.
- La AEPD sanciona a Bizum por vulnerar el artículo 32 del RGPD; la multa queda en 80.000 euros.
- Bizum retiró los datos y afirma que hoy no hay réplicas, pero recomienda cautela ante smishing y llamadas.
La Agencia Española de Protección de Datos ha sancionado a Bizum tras constatar una filtración que expuso información básica de miles de usuarios. En el expediente se certifica la extracción de identidades y teléfonos de 20.070 usuarios y la publicación de una muestra de 2.634 registros en la dark web, un episodio que reabre el debate sobre los controles de seguridad del servicio.
Bizum es una pieza cotidiana en España: opera sobre la infraestructura de Redsys, integra a 34 entidades bancarias, suma más de 27 millones de usuarios y procesa alrededor de 3 millones de órdenes diarias. Precisamente por esa capilaridad, cualquier incidencia de seguridad tiene impacto en la confianza de los consumidores.
Qué ha pasado
En 2020 un usuario avisó de que, antes de confirmar un envío, se mostraban las iniciales, apellidos y el móvil del destinatario, y que esa comprobación podía automatizarse con un script. Tiempo después, un actor malicioso aprovechó esa verificación desde la web de una entidad adherida, encadenó consultas durante aproximadamente dos horas y recolectó datos básicos de miles de cuentas, alcanzando los 20.070 registros.
Cómo se explotó la brecha
El vector fue el llamado «comprobador» previo del destinatario de Bizum: al introducir un número, el sistema confirma el nombre o alias antes de enviar dinero. Esa función, pensada para evitar errores, se convirtió en objetivo de scraping automatizado al iterar números de teléfono para extraer identidades.
Bizum había planteado medidas para frenar abusos, como bloquear cuentas con más de 30 intentos de envío no finalizados. Sin embargo, la AEPD apunta a una implementación inadecuada en una entidad participante y a un aumento inusual de peticiones que no se atajó a tiempo, lo que permitió que el actor automatizado operase durante un periodo corto pero suficiente.
Qué datos se filtraron y a quién afecta
La información afectada se limitó a nombre o alias, apellidos e intervalo de teléfono asociado a Bizum. No hay evidencia de exposición de credenciales bancarias, claves ni movimientos, por lo que no se comprometieron medios de pago de forma directa.
En la muestra publicada se hallaron 2.634 registros con números entre 600000000 y 600007494. Si tu línea cae en ese rango y tienes Bizum activo, podrías encontrarte entre los casos expuestos. El riesgo principal no es un cargo directo, sino el incremento de intentos de smishing o llamadas de ingeniería social que usen tu nombre y móvil para ganar credibilidad.
La decisión de la AEPD y la cuantía de la multa
La autoridad concluye que Bizum infringió el artículo 32 del RGPD al no acreditar medidas técnicas y organizativas suficientes en este escenario. La sanción se fijó inicialmente en 100.000 euros por la brecha y su gestión.
Tras las alegaciones, la multa se redujo a 80.000 euros. La resolución también cuestiona la diligencia a la hora de detectar el pico anómalo de consultas y valora de forma crítica que la empresa decidiera no comunicar el incidente a los afectados al considerar «bajo» el riesgo derivado de esos datos.
La respuesta de Bizum y de las entidades
Bizum atribuye el origen del incidente a la implementación en una entidad adherida y afirma que, una vez detectada la actividad masiva, esta se bloqueó en torno a las dos horas. La compañía defiende que ha reforzado los controles antiabuso y la monitorización para evitar nuevos usos automatizados del comprobador de destinatarios.
Además, contrató a una empresa especializada para impulsar la retirada de las bases de datos publicadas y asegura que, a día de hoy, no hay constancia de réplicas accesibles. Aun así, subraya que el riesgo de fraude directo es limitado, dado que no se expusieron credenciales o claves.
Qué puedes hacer ahora
Con la información filtrada no es posible ordenar pagos ni acceder a cuentas, pero conviene extremar la prudencia ante comunicaciones inesperadas que pidan datos o códigos de un solo uso.
- Desconfía de SMS o mensajes que soliciten claves, enlaces de verificación o códigos de Bizum.
- Verifica siempre el remitente y accede a tu banco desde su app o web oficial, nunca desde enlaces recibidos.
- Activa alertas de actividad y revisa periódicamente tus movimientos y soluciones de seguridad para detectar anomalías.
- Si recibes llamadas suplantando a tu banco o a Bizum, cuelga y contacta por canales oficiales antes de facilitar cualquier dato.
El caso evidencia que un detalle de usabilidad puede convertirse en vía de enumeración si no se blinda adecuadamente: un comprobador pensado para evitar errores terminó siendo una fuente de datos identificativos. Con la sanción ya impuesta y las medidas reforzadas, la vigilancia contra el abuso automatizado y la educación frente al fraude por ingeniería social siguen siendo las mejores defensas para usuarios y entidades.
Redactor apasionado del mundo de los bytes y la tecnología en general. Me encanta compartir mis conocimientos a través de la escritura, y eso es lo que haré en este blog, mostrarte todo lo más interesante sobre gadgets, software, hardware, tendencias tecnológicas, y más. Mi objetivo es ayudarte a navegar por el mundo digital de forma sencilla y entretenida.