- Una bretxa va permetre extreure noms i inicials i telèfons de 20.070 comptes de Bizum.
- Una mostra de 2.634 registres va aparèixer a la dark web amb números entre 600000000 i 600007494.
- L'AEPD sanciona Bizum per vulnerar l'article 32 del RGPD; la multa queda a 80.000 euros.
- Bizum va retirar les dades i afirma que avui no hi ha rèpliques, però recomana cautela davant de smishing i trucades.
L'Agència Espanyola de Protecció de Dades ha sancionat Bizum després de constatar una filtració que va exposar informació bàsica de milers d'usuaris. A l'expedient se certifica l'extracció d'identitats i telèfons de 20.070 usuaris i la publicació d'una mostra de 2.634 registres a la dark web, un episodi que reobre el debat sobre els controls de seguretat del servei.
Bizum és una peça quotidiana a Espanya: opera sobre la infraestructura de Redsys, integra a 34 entitats bancàries, suma més de 27 milions d'usuaris i processa al voltant de 3 milions d'ordres diàries. Precisament per aquesta capil·laritat, qualsevol incidència de seguretat té impacte en la confiança dels consumidors.
Què ha passat
El 2020 un usuari va avisar que, abans de confirmar un enviament, es mostraven les inicials, cognoms i el mòbil del destinatari, i que aquesta comprovació podia automatitzar-se amb un script. Temps després, un actor maliciós va aprofitar aquesta verificació des del web d'una entitat adherida, va encadenar consultes durant aproximadament dues hores i va recol·lectar dades bàsiques de milers de comptes i va arribar als 20.070 registres.
Com es va explotar la bretxa
El vector va ser l'anomenat «comprovador» previ del destinatari de Bizum: en introduir un número, el sistema confirma el nom o àlies abans d'enviar diners. Aquesta funció, pensada per evitar errors, es va convertir en objectiu de scraping automatitzat en iterar números de telèfon per extreure identitats.
Bizum havia plantejat mesures per frenar abusos, com ara bloquejar comptes amb més de 30 intents d'enviament no finalitzats. Tot i això, l'AEPD apunta a una implementació inadequada en una entitat participant ia un augment inusual de peticions que no es va ajustar a temps, cosa que va permetre que l'actor automatitzat operés durant un període curt però suficient.
Quines dades es van filtrar ia qui afecta
La informació afectada es va limitar a nom o àlies, cognoms i interval de telèfon associat a Bizum. No hi ha evidència dexposició de credencials bancàries, claus ni moviments, per la qual cosa no es van comprometre mitjans de pagament de forma directa.
A la mostra publicada es van trobar 2.634 registres amb números entre 600000000 i 600007494. Si la teva línia cau en aquest rang i tens Bizum actiu, podries trobar-te entre els casos exposats. El risc principal no és un càrrec directe, sinó l'increment d'intents de Smishing o trucades d'enginyeria social que usin el teu nom i mòbil per guanyar credibilitat.
La decisió de l'AEPD i la quantia de la multa
L'autoritat conclou que Bizum va infringir el article 32 del RGPD en no acreditar mesures tècniques i organitzatives suficients en aquest escenari. La sanció es va fixar inicialment en 100.000 euros per la bretxa i la gestió.
Després de les al·legacions, la multa es va reduir a 80.000 euros. La resolució també qüestiona la diligència a l'hora de detectar el pic anòmal de consultes i valora críticament que l'empresa decidís no comunicar l'incident als afectats en considerar «sota» el risc derivat d'aquestes dades.
La resposta de Bizum i de les entitats
Bizum atribueix l'origen de l'incident a la implementació en una entitat adherida i afirma que, una vegada detectada l'activitat massiva, aquesta es va bloquejar cap a les dues hores. La companyia defensa que ha reforçat els controls antiabús i el monitoratge per evitar nous usos automatitzats del comprovador de destinataris.
A més, va contractar una empresa especialitzada per impulsar la retirada de les bases de dades publicades i assegura que, avui dia, no hi ha constància de rèpliques accessibles. Tot i així, subratlla que el risc de frau directe és limitat, atès que no es van exposar credencials o claus.
Què pots fer ara
Amb la informació filtrada no és possible ordenar pagaments ni accedir a comptes, però convé extremar la prudència davant comunicacions inesperades que demanin dades o codis d'un sol ús.
- desconfia de SMS o missatges que sol·licitin claus, enllaços de verificació o codis de Bizum.
- Verifica sempre el remitent i accedeix al teu banc des de la seva app o web oficial, mai des d'enllaços rebuts.
- Activa alertes d'activitat i revisa periòdicament els teus moviments i solucions de seguretat per detectar anomalies.
- Si reps trucades suplantant el teu banc o Bizum, penja i contacta per canals oficials abans de facilitar qualsevol dada.
El cas evidencia que un detall d'usabilitat es pot convertir en via d'enumeració si no es blinda adequadament: un comprovador pensat per evitar errors va acabar sent una font de dades identificatives. Amb la sanció ja imposada i les mesures reforçades, la vigilància contra l'abús automatitzat i l'educació davant del frau per enginyeria social continuen sent les millors defenses per a usuaris i entitats.
Redactor apassionat del món dels bytes i la tecnologia en general. M'encanta compartir els meus coneixements a través de l'escriptura, i això és el que faré en aquest bloc, mostrar tot el més interessant sobre gadgets, programari, maquinari, tendències tecnològiques, i més. El meu objectiu és ajudar-te a navegar pel món digital de forma senzilla i entretinguda.