Lo que sabemos de la multa a Bizum: un fallo filtró miles de números de teléfono, pero no avisaron a los usuarios - Estados Unidos (ES)
Registro  /  Login

Otro sitio más de Gerente.com

Lo que sabemos de la multa a Bizum: un fallo filtró miles de números de teléfono, pero no avisaron a los usuarios

Publicado: octubre 30, 2025, 2:23 pm

La Agencia Nacional de Protección de Datos (AEPD) ha multado a Bizum con 80.000 euros por el robo de datos personales de miles de usuarios, a causa de una «inadecuada implementación» de medidas de protección. La resolución EXP202318538 de la AEPD, con fecha de firma el 11 de agosto de 2025, revela que esta brecha de seguridad se produjo en septiembre de 2022, teniendo en cuenta que en noviembre de 2023 se publicó un anuncio de venta de datos procedentes de la base de datos de Biuzm.

Pero, ¿qué pasó exactamente? Cuando una persona envía dinero por Bizum, la app muestra los nombres, apellidos y el número de móvil del destinatario para confirmar el envío. No obstante, los ciberdelincuentes se dieron cuenta de que podían usar un script para automatizar este proceso, por lo tanto, hacían peticiones masivas de envío de dinero, capturaban los datos personales de los usuarios y cancelaban la operación antes de completarla.

E independientemente del límite de 30 intentos de envíos, los ciberdelincuentes lograron explotar el fallo durante dos horas mediante la página de un banco asociado y, así, conseguir los datos de más de 20.000 personas -como han dado a conocer algunos medios como La Razón-.

Bizum no avisó a los afectados de la brecha de seguridad

Como decimos, la brecha de seguridad se produjo usando la técnica de scraping mencionada, pero la plataforma no tuvo constancia de la filtración hasta que los datos empezaron a circular por la red. Pese a ello, Bizum tomó la decisión de no notificar a los usuarios afectados al considerar que no existía un alto riesgo de fraude y, ahora, la AEPD ‘echa en cara’ a Bizum de no informar a los afectados de lo sucedido.

Por otro lado, es importante mencionar que el motivo de la sanción de la AEPD está relacionado con el artículo 32 del RGPD, referido a la seguridad del tratamiento de los datos y relacionado con el amplio tiempo que transcurrió desde que ocurrió la brecha hasta que Bizum se enteró de ella.

Qué números de teléfono se han filtrado

La Razón da a conocer algunos números de teléfono que se han filtrado: desde el 600 000 000 hasta el 600 007 494. No obstante, añade que «Bizum ha asegurado que contrató a una empresa especializada para hacer desaparecer toda la información filtrada de la red y que actualmente no es posible encontrar réplicas de la misma».

Y, ¿qué pasará ahora con Bizum?

La multa prevista eran de 100.000 euros, pero se reduce un 20% por pago voluntario. Pese a ello, la resolución de la AEPD obliga a Bizum a restringir el acceso a información personal, adoptar medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado y, además, evitar el acceso a los datos personales y bancarios.

Related Articles