La tienda de telefonía Phone House ha sido víctima de un ciberataque. El grupo de ciberdelincuentes Babuk asegura haberse hecho con una base importante de datos que contiene información sensible de empleados y clientes. Todo parece indicar que se trata de nombres completos, fechas de nacimiento, DNI y números de cuentas bancarias, entre otra información, de 13 millones de personas.

Según reporta El Confidencial, este fin de semana, los ciber delincuentes pidieron un recate para no publicar la información robada. Sin embargo, tras no haber recibo un pago por parte de Phone House (la cantidad exigida no se ha revelado), Babuk ha publicado este miércoles una parte de la base de datos.

El grupo amenaza con que, en caso de que no se pague el rescate, se publicará la totalidad del material sustraído. Aseguran que la información no solo será publicada en su blog público y en la darknet, sino también será enviada a socios y competidores de Phone House.

La amenaza de Babuk a Phone House

Amenaza Babuk a Phone House
Uno de los mensajes publicados por Babuk

Babuk habría utilizado un ransomware del mismo nombre para infectar a los ordenadores de Phone House. Se trata de una amenaza descubierta recientemente por la firma de ciberseguridad McAfee. Esta, al igual que o otras amenazas de este tipo, roba los datos del equipo y los filtra. Desde principios de año, al menos 5 empresas han sido afectadas con este tipo de ataque.

Según una nota publicada por los propios atacantes en la darknet, la información robada contiene los datos personales de más de 13 millones de clientes y empleados. Se trata de 100 GB que incluyen:

  • Nombre completo
  • DNI
  • Número de cuenta bancaria
  • Teléfono
  • Correo electrónico
  • Domicilio
  • Empleo
  • Fecha de nacimiento

Tras no recibir el pago del rescate, se habría publicado un parte con información de 3 millones de personas. El Confidencial, que ha accedido al material, ha confirmado que se trata de datos de clientes de Phone House. Asimismo, los ciberdelincuentes han publicado imágenes con parte de los datos para darle validez a los mismos.

El que una parte o la totalidad de los datos de los clientes y empleados de Phone House se publiquen en la red es solo el inicio del problema. Estos, al contener información personal y bancaria, podrían ser utilizados por otros ciberdelincuentes para montar campañas de suplantación de identidad, estafas y phishing.