La conocida plataforma de pagos Española, ha sido multada con 80.000 euros por la Agencia Española de Protección de Datos, por una filtración de datos sufrida entre los años 2022 y 2023.

🔗 La resolución, del 11 de Agosto, puedes leerla al completo aquí: https://www.aepd.es/documento/ps-00283-2025.pdf

🗒️ Pero en resumen, ¿qué ha pasado exactamente?

Si has usado alguna vez Bizum, sabrás que cuando realizas un envío de dinero, antes de finalizar, en la pantalla de confirmación, se visualiza el nombre completo (muchas veces para cachondeo de amigos y conocidos descubriendo segundos nombres desconocidos de ese pobre inocente que pagó en el restaurante) junto con las dos iniciales de los apellidos.

En ese punto de la transacción, nada te impide cancelar la operación, sin coste alguno y sin que el destinatario sea consciente.

🧠 ¿Qué tenemos entonces? Una técnica OSINT genial mediante la cual puedes obtener el nombre y un indicio de los apellidos de, por ejemplo, esa persona que te ha enviado un whatsapp y no conoces o esa llamada perdida desconocida que no sabes si es de un humano y no del falso bot de Infojobs.

Esto mismo pensó alguien en 2022. En vista de que Bizum no limitaba los intentos, comenzó, mediante un script, a recopilar datos masivamente para obtener una jugosa y valiosa base de datos de números ligados a sus nombres e iniciales de apellidos. Y todo iba bien, hasta que cuando llevaba unas 2 horas y unos 20.070 registros (comenzando desde el 600.000.000) a Bizum le debió saltar alguna alerta de flood y cortó el grifo.

Bizum consideró que tampoco era para tanto. Se limitó a implementar una medida anti-scrapping (30 intentos como máximo) y a otra cosa.

😥 El tema se complicó un año después cuando un buen día, la base de datos con los teléfonos scrapeados apareció en la Dark Web. Como prueba, se difundieron 2634 registros (los correspondientes a la numeración entre el 600.000.000 y el 600.007.494) y a Bizum le entraron las prisas.

Con el pastel descubierto se pusieron manos a la obra (qué remedio). Contrataron una empresa especializada para borrar todo rastro de la base filtrada en la Dark Web y notificaron a la AEPD, la cual abrió un expediente que en agosto de 2025 culminaría con 100K euros de sanción (reducida a 80K por pago voluntario). Se aplicó el agravante de haber tardado más de un año en detectar la brecha de seguridad originada en 2022

En la resolución, también se incluye la obligación de acreditar la adopción de medidas técnicas y organizativas adecuadas, así como restringir el acceso a la información personal (es decir, que el nombre deje de estar disponible antes de efectuar la transacción o que esté completamente anonimizado, por ejemplo sólo las iniciales tanto de nombre como apellidos

Dada la gravedad del asunto parece una sanción leve para una empresa que factura unos 50 millones de euros al año.

Y tú, ¿qué opinas? ¿Conocías la técnica del bizum no enviado 😉? Te leo! 👇