Tras la demanda contra Optus, ¿qué falló y qué lecciones podemos aprender?

Ante la demanda contra Optus, ¿qué salió mal y qué lecciones podemos aprender?

Por Phil Muncaster • 25 Septiembre 2025

A veces, la justicia avanza con lentitud. Así ocurre en Australia, donde el regulador de la privacidad ha... Finalmente se presentó un procedimiento de sanción civil. contra el gigante de las telecomunicaciones Optus por una filtración de datos de 2022 que todavía resuenan hasta el día de hoy.

El tribunal federal puede imponer una sanción civil de hasta 2.2 millones de dólares australianos (1.1 millones de libras esterlinas) por cada infracción, y el Comisionado Australiano de Información (AIC) alega una infracción por cada uno de los 9.5 millones de personas cuya privacidad, según afirma, Optus "interfirió gravemente". Aunque es muy improbable, esto supone una multa máxima teórica de más de 20 billones de dólares australianos (9.8 billones de libras esterlinas).

Pero posiblemente más importante que el resultado del caso es lo que las empresas locales pueden aprender del incidente, en términos de cómo gestionan los datos y la gobernanza del riesgo.

Una brecha que sacudió a Australia

El incidente se remonta a septiembre de 2022, cuando un atacante logró acceder a la información personal de millones de clientes de la segunda mayor empresa de telecomunicaciones de Australia. Esto incluyó:

Nombres, fechas de nacimiento, direcciones de domicilio, números de teléfono y direcciones de correo electrónico
Números de pasaporte, números de licencia de conducir, números de tarjeta de Medicare, información de certificado de nacimiento y certificado de matrimonio, e información de identificación de las fuerzas armadas, las fuerzas de defensa y la policía.

La AIC alega que Optus “no tomó medidas razonables” para proteger esta información, citando el tamaño y los recursos de la empresa, el volumen de datos violados y el riesgo de daño a las personas por su divulgación.

Se discute la magnitud exacta del daño sufrido por las víctimas. Aunque el atacante exigió inicialmente un rescate de 1 millón de dólares (740,000 libras esterlinas), posteriormente cambió de postura y afirmó haber borrado los datos. Si estos fueron vendidos o utilizados por estafadores sigue siendo un misterio. Sin embargo, la tensión emocional que esto supuso para innumerables australianos y las organizaciones gubernamentales que tuvieron que reemitir documentos de identidad es evidente.

La indignación nacional causada por el incidente marcó el comienzo de un nuevo régimen de ciberseguridad con mayor multas por violación de datos, y la primera ley independiente del país en esta área: la Ley de seguridad cibernéticaLa Autoridad Australiana de Comunicaciones y Medios (ACMA) también está demandando a Optus por violar la Ley de Telecomunicaciones (Interceptación y Acceso) de 1979.

¿Que pasó?

La AIC ha guardado silencio sobre los detalles de la filtración. Sin embargo, los documentos presentados en el caso de la ACMA, vistos por Tarjeta de puntuación de seguridad Cuente una historia detallada sobre lo sucedido y lo que salió mal. El proveedor de seguridad afirma que:

El actor de amenazas obtuvo acceso a los datos de Optus a través de una API inactiva y mal configurada.
La API se volvió accesible a Internet en 2020, pero sus controles de acceso se volvieron ineficaces debido a un error de codificación introducido en 2018.
Aunque se encontraron y solucionaron problemas similares en el dominio principal de Optus en 2021, el subdominio que contiene la API quedó "expuesto, sin supervisión y sin parches".
El actor de amenazas pudo consultar registros de clientes durante varios días, rotando a través de decenas de miles de direcciones IP para evadir la detección.

Además del problema de seguridad en sí, se han planteado interrogantes sobre por qué se filtraron millones de registros de antiguos clientes. Las mejores prácticas de minimización de datos indican que muchos de ellos deberían haberse eliminado. También hubo... quejas sobre los esfuerzos de comunicación de crisis de OptusLa empresa afirmó inicialmente haber sido víctima de un "ataque sofisticado", lo cual fue posteriormente refutado por expertos. Algunos se quejaron posteriormente de la lentitud de la empresa para divulgar información importante a los clientes preocupados, disculparse, asumir la responsabilidad y brindar asesoramiento práctico a los afectados.

La filtración de Optus es un claro recordatorio de que la gestión del ciberriesgo tiene dos caras. La primera se encuentra en el propio desarrollo de software: identificar y gestionar el riesgo antes, durante y después de la publicación del código. Un software inseguro o una configuración incorrecta pueden tener consecuencias graves cuando se trata de información del cliente», declara Mac Moeun, director de Patterned Security, a ISMS.online.

El segundo es cómo se gestiona el incidente. Contar con un plan de recuperación ante desastres probado y comprobado, ser transparente, comunicarse con prontitud y frecuencia, y explicar a los clientes qué se ha visto afectado. Estos pasos le ofrecen la mejor oportunidad de mantener la confianza del cliente.

¿Qué lecciones podemos aprender?

La filtración de datos de Optus fue la primera de una larga serie de incidentes de gran repercusión que sacudieron a Australia, incluyendo a Medibank y Latitude Financial. Sin embargo, al ser el primero y uno de los peores, representa una advertencia para muchos. La empresa matriz, Singtel. dejar de lado Se destinaron 140 millones de dólares australianos (68.5 millones de libras) para cubrir los costes de las consecuencias, y hubo informes de pérdida significativa de clientes siguiendo el incidente.

Desde una perspectiva puramente técnica, los CISO deberían considerar:

Seguimiento de posibles riesgos de seguridad, como API inactivas y activos no administrados
Implementar un monitoreo basado en el comportamiento para detectar actividades sospechosas (como la rotación de IP)
La minimización de datos como mejor práctica, garantizando que se elimine todo aquello que la organización ya no necesita.
Prácticas de codificación segura (DevSecOps), incluido el escaneo automatizado

Ryan Sherstobitoff, director de inteligencia de amenazas de campo en SecurityScorecard, comenta a ISMS.online: «La filtración de Optus pone de relieve la necesidad de realizar inventarios y auditorías de API rigurosos (incluidos los endpoints inactivos), codificación segura con análisis continuo de vulnerabilidades, políticas sólidas de retención y eliminación de datos y detección avanzada de anomalías para detectar tácticas de ataque poco sofisticadas pero eficaces».

Por otra parte, la AIC se centra en la necesidad de contar con controles de seguridad por capas, una propiedad clara de los dominios, una sólida supervisión de la seguridad y revisiones periódicas. Sin embargo, se podría decir que las organizaciones pueden ir un paso más allá. Una respuesta más integral sería implementar normas de buenas prácticas como la ISO 27001 y la 27701 (para implementar un Sistema de Gestión de la Seguridad de la Información y un Sistema de Gestión de la Privacidad de la Información, respectivamente).

Ofrecen un marco integral basado en riesgos para la gestión y protección de datos sensibles, incluida la información de identificación personal (PII). El camino hacia el cumplimiento garantizará que las organizaciones comprendan qué datos gestionan, dónde podrían existir brechas de seguridad y qué controles y procesos ayudarán a subsanarlas. Fundamentalmente, las normas promueven la idea de la monitorización y la mejora continuas, para que las organizaciones que cumplen las normas se adapten con éxito a los cambios en la infraestructura de TI, las tendencias de amenazas y otros factores.

“Estos marcos de SGSI proporcionan controles estructurados y auditables para la gestión de activos, el desarrollo seguro, la supervisión y la gobernanza del ciclo de vida de la información de identificación personal (PII), lo que ayuda a las organizaciones a aplicar principios de confianza cero, minimizar la exposición de datos y evitar puntos ciegos de codificación o retención a largo plazo”, afirma Sherstobitoff.

La filtración de datos de Optus ocurrió hace tres años, pero aún ensombrece a las empresas australianas. Si más personas aprenden de los errores del pasado, no estaría mal.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster