El portal HackManac, especializado en rastrear ciberataques, fue el primero en informar de ello el pasado lunes: "Un hacker conocido como Dedale ha reivindicado la responsabilidad de una violación masiva de datos dirigida a Movistar, una importante empresa española de telecomunicaciones propiedad de Telefónica S.A.".

PUBLICIDAD

En el mensaje compartido por el propio ciberdelincuente se explicaba que vendía una base de datos que supuestamente contenía información de cerca de 22 millones de registros de clientes. En ella se incluían los nombres completos de los usuarios, sus DNI, sus números de teléfono móvil o los planes contratados con la operadora.

Como prueba, Dedale colgó en un foro de la dark web una muestra de un millón de datos. Para obtener la versión completa, los usuarios deben pagar 1.500 euros. Pero aquí viene la primera matización: los datos de esa muestra pública corresponden a clientes de Perú. Algo importante porque el pasado abril Telefónica vendió su filial en el país andino a la compañía argentina Integra Tec, lo que significaría que la responsabilidad en este tema no sería ya de la empresa española.

"De entrada, esa filtración no parece especialmente grave. Seguramente la mayor parte de esa información sea basura", valora Juan Arce, forense informático y profesor de IMMUNE Technology Institute. "Sin embargo, en la madrugada del 5 de junio Dedale publicó otra entrada en el foro donde ofrece datos de otros 250.000 clientes de Telefónica. Son unos 5.000 ficheros internos que incluyen PDF, CSV, archivos PowerPoint y correos electrónicos. Esa información sí podría ser más relevante, aunque sea poca. Pero no lo sabemos con exactitud, porque no pone de qué país son esos usuarios ni tampoco se especifica cuál es el precio de venta. Dice que directamente lo consultes con él", añade el experto.

El pasado de Dedale

Antonio Fernandes, hacker experto en ciberseguridad, coincide con Arce en señalar que Dedale era muy activo en otros foros anteriores, como RaidForums o Breached, donde los ciberdelincuentes ganaban notoriedad en base a las reseñas que les ponían el resto de usuarios. En ellos ya vendía datos robados de compañías, lo que significa que ya tiene una trayectoria. Sin embargo, los dos expertos tienen el mismo pálpito.

"Dedale era uno de los que estaban al frente de Breached, que ya era una especie de mercado en línea donde se vendían cosas robadas, en este caso datos. El tipo vive de esto, pero probablemente sea un intermediario. Seguramente no roba la información directamente, pero se encarga de venderla", apunta Fernandes. "En el foro actual, del que prefiero no decir el nombre, se registró en abril de 2025, y desde entonces ha publicado 39 hilos donde ofrece datos. Si haces cuentas, significaría que cada dos días ha conseguido hackear a alguien. Pero mi sensación es que es un comercializador, no sé si tiene realmente conocimientos técnicos. Pero es un ejemplo de cómo se ha desarrollado la ciberdelincuencia", remata Arce.

En su perfil, Dedale asegura que vive en Transilvania, algo que Arce considera que no es más que una broma. "Está publicando en la red todo lo que se habla de él. Y si miras las ofertas que ha lanzado, ninguna otra es de datos de España, pero sí de otros muchos países como Irán, Argentina, Vietnam o Camerún. En algunos hilos pone que ofrece información de miles de millones de personas, pero hay que entender que no todo tiene por qué ser nuevo. Habrá mucha información antigua o refrita, que ya estará publicada y no tendrá mucha validez", sostiene.

La reputación de Dedale

"La realidad es que Dedale es un agente del que se tiene muy poca información", desliza Vincent Nguyen, director de Cyber en Stoïk, una compañía de seguros especializada en riesgos cibernéticos para empresas. "Todo parece indicar que actúa en solitario, por el rescate tan bajo que ha solicitado y la venta de datos a una sola cuenta. Sería una sorpresa, ya que cuando se trata de incidentes a empresas tan grandes estamos más acostumbrados a luchar contra grupos de ciberdelincuentes. Pero luego dice tener un jefe, así que quizás sí podría ser un pequeño grupo", continúa el experto.

En su perfil de Telegram, Dedale habla de sí mismo en plural, como si fuera un grupo. Algo que alienta la teoría de Arce de que o bien se trata de un perfil detrás del cual hay varias personas con funciones diferentes. Aunque siempre está la opción de que sea simplemente una estrategia para parecer una organización grande y profesional y cobrar más dinero.

Según Nguyen, no es la primera vez que Dedale intenta vender algo en la dark web, y en otras ocasiones la información que afirmó tener resultó ser falsa. "Otros miembros de la dark web creen que los datos que intenta vender son públicos o se trata de una filtración antigua. Es posible que la base de datos haya sido construida con información pública, y en ese caso no habría ninguna violación real de seguridad. Ahora es muy importante dejar tiempo para que el equipo de forenses pueda identificar qué tipo de datos han sido robados y si podrían suponer una amenaza para terceros. Pero teniendo en cuenta la corta pero fallida actividad de Dedale, así como el bajo monto de rescate propuesto, es bastante probable que esto se convierta en un incidente menor, aunque no se puede sacar ninguna conclusión definitiva aún", detalla.

En cuanto al tipo de ataque que utilizó contra Telefónica, el experto cree que Dedale podría haber encontrado una vulnerabilidad en la web o la API de la compañía o, en caso de ser una base de datos antigua, que esta no estuviese bien protegida,  permitiendo listar la información de los usuarios o incluso acceder directamente a la base de datos, aunque recalca que todavía no ha habido ninguna explicación oficial.

"Pese a todo, parece que el sistema de información de Telefónica no se ha visto muy comprometido, ya que, de haber sido así, habría extraído datos mucho más jugosos o, incluso, habría vendido el acceso a otros actores maliciosos, pudiendo haber dañado mucho más a la compañía y pedir un mayor rescate. También podría haberse tratado de una filtración en una de las filiales de la empresa, ya que el hackeo se ha producido en Perú principalmente, según lo que se sabe hasta ahora", zanja Nguyen.

Los ataques a Telefónica

Según un reciente informe de Secure&IT, España es el segundo país del mundo más atacado por los ciberdelincuentes. Y en ese contexto, Telefónica es una de las empresas más afectadas. Miguel Sánchez, director de seguridad global de la operadora hasta el pasado marzo, admitió durante el Congreso Internacional de Inteligencia Artificial organizado por este periódico que acabaron el año 2024 registrando "más de 90.000 ciberataques diarios". "Hemos aprendido muchísimo de los enemigos y los adversarios que han intentado robarnos datos", deslizó.

El pasado enero, Telefónica sufrió una brecha de seguridad que propició el robo de datos de la empresa. El responsable fue un nuevo grupo de hackers conocido como Hellcat, que anteriormente ya había logrado infiltrarse en otras compañías y en instituciones como el parlamento israelí. En ese momento lograron hacerse con 2,3 GB de documentos que incluían 230.000 líneas con datos de clientes de la operadora.






PUBLICIDAD