Bizum, una de las herramientas de pago más populares en España, enfrenta su momento más complicado. Lo que muchos pensaban imposible acaba de confirmarse: una brecha de seguridad expuso los datos personales de más de 20.000 usuarios, y lo más preocupante es que nadie fue informado a tiempo.
La Agencia Española de Protección de Datos (AEPD) ha sancionado a la compañía tras descubrir que esta fuga, ocurrida en 2022 pero encubierta hasta 2023, permitió que parte de la información terminara a la venta en la Dark Web.
Aunque la filtración se conoció recientemente, la vulnerabilidad tiene su origen tres años atrás, en 2020. Un usuario descubrió que el sistema de Bizum podía explotarse con un simple script que simulaba envíos de dinero. Antes de cancelar la operación, el sistema mostraba nombres y teléfonos de otros usuarios, lo que permitía crear bases de datos completas mediante scraping (una técnica para extraer información automáticamente).
El usuario reportó el fallo tanto a Bizum como a la AEPD, y la empresa aseguró haber solucionado el problema. Entre las medidas, bloqueó las cuentas con más de 30 intentos fallidos consecutivos y reforzó los controles. La agencia, confiando en esas acciones, cerró el caso.
Pero en 2022, lo peor se confirmó: un ciberdelincuente explotó esa misma vulnerabilidad que supuestamente ya había sido resuelta.
En septiembre de 2022, desde la web de uno de los bancos asociados al sistema, se detectó una actividad anómala que duró apenas dos horas, pero fue suficiente para extraer información de 20.070 usuarios.
El atacante no robó dinero ni contraseñas, pero sí accedió a nombres, iniciales y números de teléfono. En principio parecía un daño menor, pero lo grave fue lo que vino después: Bizum no informó a los afectados.
Durante meses, la empresa mantuvo el incidente en secreto, alegando que el riesgo era “bajo”. No fue hasta noviembre de 2023, más de un año después, cuando una base de datos con 2.634 registros extraídos apareció en la Dark Web. Los números comprometidos estaban en el rango del 600 000 000 al 600 007 494.
Solo entonces, y ante la evidencia pública, Bizum notificó a la AEPD.
Conoce más: Hackers Exponen a Funcionarios de México por Usar Contraseñas Débiles
La Agencia Española de Protección de Datos no tardó en reaccionar. Determinó que Bizum actuó con negligencia al no detectar a tiempo la brecha ni comunicarla a los usuarios afectados.
Según la AEPD, el sistema de alertas internas de la empresa falló completamente, y la falta de comunicación rompió la confianza de los usuarios. Por ello, impuso una multa de 100.000 euros, que se redujo a 80.000 por pago voluntario.
Además, Bizum deberá cumplir una serie de obligaciones:
La buena noticia es que no se filtraron contraseñas ni información bancaria. Los datos comprometidos fueron:
Aun así, no se trata de algo menor. Estos datos pueden usarse para phishing, suplantaciones o fraudes personalizados. Por ejemplo, un atacante podría hacerse pasar por uno de tus contactos o por un servicio de confianza usando esa información.
Los expertos en ciberseguridad coinciden: cualquier dato personal, por simple que parezca, tiene valor. En el ecosistema del cibercrimen, la información se combina con otras filtraciones anteriores para crear perfiles completos.
Si tu número de teléfono se encuentra entre 600 000 000 y 600 007 494, y eres usuario de Bizum, existe la posibilidad de que tus datos hayan sido expuestos.
Aunque Bizum asegura haber eliminado los archivos de la red con ayuda de una empresa especializada en ciberinteligencia, no hay garantía de que no existan copias circulando.
Por eso, desde TecnetOne te recomendamos seguir estas medidas de precaución:
Tras hacerse público el incidente, Bizum emitió un comunicado reconociendo la brecha, aunque insistió en que “no hubo riesgo real para los usuarios”.
Según la compañía, los datos filtrados no permitían realizar operaciones ni acceder a cuentas. Sin embargo, admitió haber subestimado la vulnerabilidad original y anunció una revisión completa de sus sistemas y protocolos de alerta.
También señaló que ha incorporado nuevas herramientas de detección temprana y reforzado la supervisión en sus bancos asociados.
Pese a ello, la percepción del público ha cambiado. Durante años, Bizum fue sinónimo de seguridad y conveniencia; hoy, su reputación está en entredicho.
Títulos similares: Hackers Filtran Datos de Alumnos y Empleados de la Universidad Anáhuac
En TecnetOne, analizamos este caso como un ejemplo claro de cómo una pequeña brecha puede tener grandes consecuencias si no se gestiona con transparencia y rapidez.
Estos son los principales aprendizajes:
El caso Bizum deja una lección clara: la seguridad no termina cuando se apaga el incidente, sino cuando se recupera la confianza del usuario.
Aunque la brecha no comprometió cuentas ni dinero, el error de comunicación y la falta de transparencia fueron tan graves como el ataque en sí.
En TecnetOne, creemos que la ciberseguridad no solo consiste en proteger datos, sino también en cuidar la relación entre empresas y usuarios. La confianza se construye con transparencia, responsabilidad y acción constante.
Así que, si usas Bizum, mantente alerta, revisa tus comunicaciones y no compartas información personal por canales no verificados.