MacLucan

hola@maclucan.com

Logo agente digitalizador

Agente digitalizador oficial

Menú
Logotipo de MacLucan con texto en blanco
ciberataque a telefonica enero 25

Ciberataque a Telefónica: Cómo una comunicación corporativa efectiva puede proteger tu imagen

por

El ciberataque a Telefónica de enero de 2025 ha puesto de relieve la vulnerabilidad incluso de las empresas del sector de telecomunicaciones, responsables de salvaguardar los datos de sus clientes. Cuando la reputación y la confianza se ven amenazadas por incidentes de seguridad, contar con una estrategia de comunicación corporativa sólida es crucial para mitigar el impacto. En Maclucan como expertos en comunicación de ciberseguridad nos gusta analizar los procesos de comunicación cuando ocurren estos casos tan significativos. Es parte de nuestro trabajo estar informados de qué pasa en el sector.

En este artículo vamos a analizar el ciberataque, la comunicación de la empresa ante el ataque y las posibles estrategias a futuro que la empresa debería tener en cuanta a la hora de comunicar este tipo de incidentes.

¿Qué ocurrió en el ciberataque a Telefónica?

El reciente ciberataque a Telefónica consistió en una filtración masiva de 2,3 GB de datos extraídos de su sistema interno de ticketing. Los atacantes, utilizando técnicas de phishing sofisticado, lograron obtener credenciales de empleados y acceder a información sensible, como datos de clientes corporativos y registros internos. Aunque la compañía aseguró que los clientes residenciales no se vieron afectados, el incidente generó preocupación en el sector, evidenciando la necesidad de reforzar no solo la seguridad tecnológica, sino también la comunicación de crisis.

El ataque a Telefónica se caracterizó por una combinación de técnicas avanzadas de phishing, ingeniería social y explotación de brechas internas en la gestión de credenciales. A continuación, se detalla cada uno de estos aspectos:

Tipo de Ataque

El ciberataque a Telefónica fue un ciberataque dirigido, donde los atacantes lograron infiltrarse en el sistema interno de ticketing de Telefonica, que utiliza la plataforma Jira para la gestión de incidencias. Aunque no se trató de un ataque de ransomware convencional—ya que los ciberdelincuentes no exigieron un rescate—la extracción y publicación de 2,3 GB de datos demuestra el potencial devastador de este tipo de incidentes.

Técnicas Utilizadas

  • Phishing sofisticado e ingeniería social:
    Los atacantes utilizaron campañas de phishing muy elaboradas para engañar a empleados y hacerles llegar un documento en formato Word. Este documento contenía un infostealer, un malware especializado en robar información sensible (como credenciales, contraseñas y otros datos) y, a diferencia del ransomware, estaba diseñado para cifrar o borrar sus huellas en lugar de pedir rescate. La ingeniería social jugó un papel fundamental, ya que los atacantes lograron generar confianza con ciertos empleados antes de inducirlos a realizar acciones que comprometieran sus credenciales.
  • Explotación de credenciales comprometidas: Una vez que los atacantes obtuvieron las credenciales de acceso, pudieron ingresar a sistemas críticos sin mayores barreras. La ausencia de un mecanismo robusto de autenticación multifactor (MFA) facilitó el uso indebido de estas credenciales, permitiéndoles acceder a la base de datos interna de Jira.
  • Movimiento lateral y extracción de datos: Con acceso al sistema de ticketing, los hackers lograron recorrer la red interna y extraer grandes volúmenes de información, que incluían:
    • Más de 236.000 entradas de datos de clientes corporativos.
    • Aproximadamente 469.724 registros de tickets internos.
    • Más de 5.000 archivos en diversos formatos (CSV, DOCX, PDF, entre otros).
  • Publicación en foros de hackers: Finalmente, los atacantes publicaron la base de datos en un foro de la Dark Web, mostrando abiertamente los resultados del ataque y evidenciando el alcance de la vulnerabilidad.

Brechas de Seguridad Explotadas

El éxito del ciberataque a Telefónica se debió a varias deficiencias en la seguridad interna de la empresa:

  • Falta de autenticación multifactor robusta: La ausencia o implementación deficiente de medidas MFA permitió que, una vez comprometidas, las contraseñas fueran suficientes para acceder a sistemas críticos.
  • Gestión inadecuada de credenciales: La utilización de credenciales débiles o la falta de un sistema efectivo de monitoreo y rotación de contraseñas facilitó el uso indebido de cuentas de empleados
  • Configuración y segmentación de la red: La plataforma Jira, utilizada para la gestión interna, no contaba con suficientes controles de acceso granulares o segmentación de la red. Esto permitió el movimiento lateral dentro del sistema una vez que los atacantes obtuvieron acceso a una cuenta.
  • Deficiencias en la formación y concienciación: La ingeniería social demuestra que los empleados no estaban completamente preparados para identificar correos electrónicos o documentos sospechosos, lo que facilitó la acción inicial de los atacantes.

Respuesta de Telefónica al ataque.

Según la información pública del ataque sabemos que el ataque se inició alrededor del 9 de enero de 2025, cuando se detectó el acceso no autorizado al sistema interno de ticketing de Telefónica. En respuesta inmediata a la detección del incidente, la empresa bloqueó el acceso al sistema y forzó el cambio de contraseñas en las cuentas afectadas. Aunque estas acciones de contención se llevaron a cabo de forma rápida en el momento del ataque, la comunicación oficial –que confirma que se sigue investigando el alcance y que, por lo que se sabe, los clientes residenciales no se han visto afectados– se publicó el 15 de enero de 2025, 5 días más tarde del ataque.

Esta diferencia en tiempos demuestra que, aunque Telefónica actuó de forma inmediata para mitigar la amenaza, la información detallada y la confirmación de las medidas adoptadas se hicieron públicas unos días después, lo que es común en este tipo de incidentes para permitir una verificación interna completa antes de comunicarlo a los stakeholders.

Datos filtrados en el ataque.

Según los informes publicados, la filtración de datos realizada durante el ataque a Telefónica incluyó dos tipos principales de información:

  • Datos internos de la empresa: Se filtraron registros del sistema de ticketing utilizado para la gestión interna, lo que incluyó aproximadamente 469.724 registros de tickets y más de 5.000 archivos en diversos formatos (CSV, DOCX, PDF, entre otros). Estos datos reflejan información operativa y documentos internos que gestionan las incidencias y peticiones de los empleados.
  • Datos de clientes: La filtración también abarcó aproximadamente 236.493 entradas de datos de clientes. Es importante destacar que Telefónica aseguró en sus comunicaciones que los clientes residenciales no se vieron afectados. Por lo tanto, se entiende que los datos robados relacionados con clientes corresponden, en su mayoría, a clientes corporativos o a otro tipo de relaciones comerciales que no implican directamente a usuarios particulares.

Ciberataque a telefonica enero 2025

Ciberataques a Telefónica: Una cronología de vulnerabilidades

En los últimos años, Telefónica ha enfrentado varios ciberataques significativos:

  • 📅 Mayo 2017: WannaCry paraliza 85% de los ordenadores de la empresa.
  • 📅 Marzo 2024: Filtración de datos de 120,000 personas y 2.5 millones de registros.
  • 📅 Enero 2025: Ataque al sistema de ticketing, exponiendo 2.3 GB de información.

Ciberataque a Telefónica Mayo 2017

  • Tipo de ataque: Ransomware (WannaCry)
  • Impacto: Afectó al 85% de los ordenadores de la compañía (aproximadamente 34,000 equipos)
  • Consecuencias: Paralizó parte de la red informática, principalmente la intranet corporativa
  • Respuesta: Se ordenó apagar ordenadores y desconectar móviles de la red WiFi corporativa

Ciberataque a Telefónica Marzo 2024

  • Tipo de ataque: Filtración de datos
  • Impacto: Afectó a más de 120,000 personas y 2.5 millones de registros
  • Datos comprometidos: Direcciones, nombres, correos electrónicos y números de teléfono
  • Descubrimiento: Reportado en mayo de 2024 por la empresa de ciberseguridad HackManac

Ciberataque a Telefónica Enero 2025

  • Tipo de ataque: Phishing sofisticado con ingeniería social
  • Impacto: Robo de 2.3 GB de datos, afectando al sistema de ticketing interno.
  • Datos comprometidos: 236,493 datos de líneas de clientes y 469,724 registros de tickets internos.
  • Respuesta: Telefónica confirmó el incidente y aseguró que los clientes residenciales no se vieron afectados

Ciberataques a otras grandes empresas españolas

El panorama de la ciberseguridad en España no se limita a Telefónica. Otras empresas y organismos públicos también han sufrido incidentes que han marcado un antes y un después en la gestión de la seguridad digital:

Agencia Tributaria (Hacienda)

En diciembre de 2024, un grupo de hackers bajo el seudónimo Trinity llevó a cabo un ataque de criptoransomware contra la Agencia Tributaria, logrando sustraer millones de datos confidenciales de contribuyentes. Este ataque, que exigió el pago de un rescate en criptomonedas, puso en evidencia la sensibilidad de la información pública y la necesidad de reforzar los sistemas de respuesta a incidentes.

Hospital Clínic de Barcelona:

Durante 2023, este importante centro de salud fue víctima de un ciberataque que expuso datos personales y médicos de pacientes. La vulnerabilidad en la gestión de datos sensibles en el sector sanitario es un recordatorio de que ningún ámbito está exento de la amenaza cibernética.

Entidades financieras:

Bancos como BBVA y Banco Santander han enfrentado campañas de phishing y otros ataques dirigidos. A pesar de contar con avanzadas medidas de seguridad, la persistencia de estas amenazas ha obligado al sector financiero a invertir continuamente en tecnología y en protocolos de respuesta para proteger la información de sus clientes y mantener la confianza del mercado.

Importancia de la comunicación corporativa en un ciberataque

Con el análisis de este tipo de ataques podemos obtener un panorama del estado actual de la ciberseguridad en España. Vemos que los avances tecnológicos no son ajenos a los ciberdelincuentes.

La comunicación corporativa es el primer escudo que protege la imagen de la empresa ante una crisis. Una respuesta oportuna y bien estructurada puede:

  • Restaurar la confianza en clientes, empleados y socios.
  • Minimizar el impacto reputacional y evitar la propagación de información errónea.
  • Posicionar a la empresa como proactiva y comprometida con la seguridad.

Comunicación interna. Formación sobre ciberseguridad a los trabajadores y proveedores de las grandes empresas.

Las empresas tan grandes como Telefónica tienen un factor clave es su ciberseguridad, «Las personas». Como hemos comentado el último ataque ha empezado con un ataque de phishing, que esto es lo habitual. La formación a las personas que trabajan en tu empresa o para tu empresa es fundamental para que esta primera barrera de protección sea robusta. Los trabajadores deben estar formados para no abrir correos de phishing y esto solamente se puede hacer con formación y simulaciones de phishing para poder fortalecer los eslabones más débiles.

El problema de la formación en ciberseguridad  es que hay dudas de quien la tiene que implementar. Muchas veces son los departamentos técnicos (IT) los que se encargan de las simulaciones (entre otras muchas cosas más técnicas) y esto hace que no se aborde desde la perspectiva de la comunicación interna o de las gestión de personas. Esta es una tarea multidepartamental en la que se deberían involucrar muchos departamentos y que debe abarcar a todas las personas que interactuarán con la organización, desde directivos a proveedores externos.

Es muy importante darle la importancia que tiene la formación en la ciberseguridad de tu empresa.

Estrategias clave de comunicación ante un ciberataque

Para afrontar un incidente como el ciberataque a Telefónica, es fundamental implementar una estrategia de comunicación que incluya:

  1. Transparencia y rapidez: Comunicar de forma inmediata y clara lo sucedido, explicando las medidas adoptadas para contener la brecha.
  2. Mensajes consistentes: Asegurar que todas las comunicaciones internas y externas utilicen un mensaje uniforme que refleje el compromiso de la empresa con la seguridad.
  3. Formación y concienciación: Capacitar a los empleados para que sean embajadores de la seguridad y puedan transmitir confianza en momentos de crisis.
  4. Plan de contingencia: Disponer de un protocolo de comunicación de crisis que incluya acciones específicas y responsables designados.

¿Por qué elegir a Maclucan para estrategias orientadas a la comunicación de la ciberseguridad?

En Maclucan, tenemos el core de nuestra actividad enfocado en la comunicación de ciberseguridad. Nuestra experiencia nos permite:

  • Desarrollar estrategias personalizadas que se adaptan a la identidad y necesidades de cada empresa.
  • Gestionar la comunicación de crisis de manera que se minimice el impacto negativo y se recuperen rápidamente la imagen y la confianza.
  • Integrar herramientas digitales y de análisis que ayudan a monitorizar la reputación online y a actuar de forma proactiva.

Si tu empresa ha sido víctima de un ciberataque  o se encuentra en riesgo, no dejes que la crisis afecte tu imagen corporativa. Con Maclucan, tendrás a un equipo de expertos a tu lado para transformar el reto en una oportunidad de mejora y crecimiento.

¿Quieres más información?

Contáctanos hoy mismo y descubre cómo podemos ayudarte con la comunicación de ciberseguridad de tu empresa.

Deja un comentario