Bizum, el sistema de pagos instantáneos más popular de España, ha sufrido su primera brecha de seguridad confirmada. Miles de números de teléfono y alias de usuarios han sido filtrados y puestos a la venta en la Dark Web.

El incidente, que afecta a más de 20.000 usuarios, pone en evidencia una vulnerabilidad que existía desde hace años en los sistemas de una de las entidades asociadas a Bizum.

Una brecha que pone en jaque la confianza

Bizum nació en 2015 como una iniciativa conjunta de 20 bancos españoles junto a las asociaciones ABE, CECA y UNACC, y las infraestructuras de pago Redsys, Cecabank e Iberpay. Su crecimiento fue meteórico, convirtiéndose en un estándar de pagos entre particulares.

Sin embargo, la comodidad de enviar dinero con un clic también ha traído nuevos desafíos de ciberseguridad.

Cómo ocurrió la brecha

Según fuentes oficiales, el ataque comenzó cuando un usuario automatizó consultas a través de la web de una de las entidades bancarias vinculadas a Bizum. En tan solo dos horas, logró acceder a la información de 20.070 cuentas, obteniendo números de teléfono, alias y nombres parciales.

Aunque el acceso fue bloqueado rápidamente, los datos ya habían sido copiados. Meses después, aparecieron en foros clandestinos de la Dark Web.

De 2020 a 2024: una filtración silenciosa

El fallo fue detectado inicialmente en 2020 y comunicado a la Agencia Española de Protección de Datos (AEPD). Sin embargo, la información no se hizo pública hasta 2023, y no fue hasta finales de 2024 cuando se descubrió la venta de los datos en la red oscura.

Se han identificado 2.634 números de teléfono filtrados, con alias visibles, correspondientes a un rango entre 600000000 y 600007494. Aunque la mayoría de los usuarios actuales no se verían afectados, el incidente generó gran preocupación.

Multa y medidas de contención

La AEPD impuso a Bizum una multa de 80.000 euros por la falta de protección de datos personales. En respuesta, Bizum contrató a una empresa de ciberseguridad para eliminar la información filtrada y reforzar sus sistemas.

Actualmente, la compañía asegura que no existen trazas activas de la filtración y que se han implementado mecanismos para evitar que un incidente similar vuelva a producirse.

Qué deben hacer los usuarios

• Cambiar las contraseñas de las apps bancarias vinculadas a Bizum.
• Revisar la configuración de privacidad y activar la verificación en dos pasos.
• Desconfiar de mensajes o llamadas sospechosas que soliciten datos bancarios.
• Comprobar si su número está dentro del rango afectado (600000000 - 600007494).

Conclusión

Este caso demuestra que ni siquiera las plataformas más consolidadas están exentas de riesgos. En un mundo cada vez más digitalizado, la seguridad y la educación tecnológica son claves para evitar caer en filtraciones o fraudes.