Vamos con la segunda edición de esta nueva newsletter, todavía en fase piloto, en la que repasaremos hechos relevantes en la esfera digital de la última semana, con foco en empresas españolas.

Primero, titulares:

• Multa de 200.000 euros a Digi por un SIM swap que acabó en fraude

• Filtración de datos en Infojobs deja al descubierto a sus usuarios en España

• Filtración también en Adidas España, exponiendo nombres y teléfonos de sus clientes

• La tendencia “SkinnyTok” en TikTok, peligrosa moda que ha obligado a la red social a tirar del cable

• Ucrania usó software de código abierto en su ataque a Rusia con drones escondidos

• Qué es el localhost tracking y cómo Meta ha estado espiando a usuarios de Android con esta táctica

• Apple publica un informe con el que pinchar ruedas a sus competidores

—

Multa de 200.000 euros a Digi

La Agencia Española de Protección de Datos (AEPD) ha impuesto una sanción de 200.000 euros a la operadora Digi por permitir un duplicado fraudulento de tarjeta SIM, lo que derivó en la suplantación de identidad de un usuario y un posterior fraude bancario. La resolución, que cita la infracción del artículo 6.1 del RGPD, señala que Digi permitió el tratamiento ilícito de datos personales al emitir una nueva SIM sin el consentimiento ni la solicitud del titular legítimo.

El caso se remonta a la actuación de un tercero que, personándose en un punto de venta de Digi, obtuvo de forma fraudulenta un duplicado de la tarjeta SIM del reclamante. Este acceso permitió al delincuente recibir códigos de verificación y tomar el control del número de teléfono, una pieza clave para ejecutar operaciones bancarias en nombre del titular sin su consentimiento.

La AEPD subraya que Digi no logró verificar correctamente la identidad del solicitante del duplicado, ni demostró haber aplicado medidas técnicas y organizativas suficientes para evitar este tipo de suplantaciones. Emitir un duplicado de SIM implica un tratamiento de datos personales que requiere una base jurídica válida, y hacerlo sin garantías supone una vulneración grave de la normativa de protección de datos.

El organismo regulador insiste en que, precisamente por tratarse de un proceso vulnerable a fraudes, las operadoras deben reforzar sus controles de verificación de identidad, dado el alto impacto que puede tener el mal uso de una línea móvil. El hecho de que los delincuentes ya tuvieran datos del afectado no exime a la compañía de su deber de diligencia: la responsabilidad recae en la operadora, que debe garantizar la seguridad y la integridad de los datos personales.

En los últimos años, se han multiplicado las sanciones por casos de SIM swapping que acaban en fraude financiero. La emisión de un duplicado SIM sin garantías suficientes puede habilitar el acceso total a la identidad digital del afectado, incluyendo correo electrónico, banca online o redes sociales. Las entidades de telecomunicaciones son responsables de verificar efectivamente la identidad del solicitante, y la mera coincidencia de datos o la delegación en distribuidores sin control efectivo no es suficiente.

El principio de responsabilidad proactiva del Reglamento General de Protección de Datos (RGPD) exige no solo implantar medidas de seguridad, sino revisarlas y actualizarlas para que sean eficaces. No se admite que el fraude sea atribuido únicamente a terceros: si la suplantación es posible, es porque el sistema de control es deficiente, tal y como nos recuerda el experto Alberto Casaseca en LinkedIn.

En 2025, el fraude por SIM swap ha experimentado un alarmante aumento del 1.000% según la National Fraud Database de Reino Unido, convirtiéndose en una de las amenazas más graves para consumidores y empresas.

Filtraciones en Infojobs y Adidas España

Por un lado, una web de empleo muy usada y conocida en España, y por otro, una de las marcas de moda más relevantes. Seguimos viendo que ninguna empresa, sea del sector que sea, está libre de amenazas por parte de los hackers. Como ya sabes, datos tan esenciales como un nombre y número de teléfono ya son suficientes para que los criminales realicen campañas de phishing.

Infojobs ha comunicado este lunes una brecha de seguridad que afecta a los datos de perfil de usuario, posiblemente de decenas de miles de personas. La empresa ha sido transparente sobre la naturaleza del ataque, explicando que se produjo por el robo de credenciales y no por un compromiso directo de sus sistemas. El comunicado destaca por su claridad y por orientar a los usuarios sobre los riesgos derivados, como el phishing o el spam, aunque se echa en falta una recomendación explícita de cambio de contraseña, mayor detalle sobre los datos afectados y la ausencia de autenticación en dos pasos, que podría haber evitado el acceso no autorizado.

Por su parte, Adidas España ha informado a sus clientes de un incidente de seguridad vinculado a un proveedor externo de atención al cliente, que permitió el acceso no autorizado a datos de contacto como nombre, correo electrónico, teléfono, sexo y fecha de nacimiento. La compañía asegura que no se han visto comprometidas contraseñas ni datos de pago, y que ha tomado medidas inmediatas para contener el incidente y reforzar la seguridad. Aunque no se han detectado daños directos, Adidas recomienda a los usuarios estar alerta ante posibles mensajes sospechosos y recuerda que nunca solicitará información financiera por canales no oficiales.

TikTok se carga el hashtag “SkinnyTok”

TikTok ha prohibido globalmente el hashtag 'SkinnyTok', una tendencia que fomentaba la anorexia y promovía rutinas extremas de alimentación y ejercicio, tras la presión del gobierno francés y la movilización de miles de usuarios y expertos en salud.

La medida, celebrada por la ministra francesa de Medios Digitales como un primer paso para proteger a los menores de los peligros de las redes sociales, implica que al buscar este contenido en TikTok ahora aparece un mensaje de apoyo en lugar de vídeos.

Ucrania usó software de código abierto en su reciente ataque a Rusia

Ucrania llevó a cabo uno de los ataques con drones más ambiciosos y coordinados de la guerra utilizando ArduPilot, un software de código abierto originalmente creado para drones de aficionados, tal y como lo relatan desde 404media. En la operación, denominada "Spider Web" y planificada durante más de un año, se emplearon 117 drones que lograron destruir cerca de un tercio de los bombarderos estratégicos rusos en bases situadas a cientos de kilómetros de la frontera. Los drones, ocultos en camiones y cobertizos con techos falsos, fueron lanzados de forma remota y guiados gracias a las capacidades de ArduPilot, que permite programar rutas, estabilizar el vuelo y operar en condiciones de señal limitada, lo que resultó clave para el éxito de la misión.

El uso de ArduPilot, un sistema gratuito y modificable, ejemplifica cómo la guerra moderna puede apoyarse en tecnología accesible y barata para lograr impactos estratégicos. Aunque el software fue diseñado para fines pacíficos y cuenta con una comunidad global de desarrolladores, su flexibilidad ha permitido que sea adaptado para usos militares por ambos bandos del conflicto.

Apple publica un informe con el que pinchar ruedas a sus competidores

Hay quienes dicen que el objetivo de Apple es simplemente poner la zancadilla a sus competidores en el terreno de la IA, simplemente porque los de Cupertino van visiblemente por detrás de OpenAI o Google (al menos aparentemente). En cualquier caso, el informe publicado por Apple es un recordatorio necesario de que las IAs no son realmente inteligentes, sino que son una industria chetada con un marketing enorme detrás.

Titulado “La ilusión del pensamiento”, el estudio expone las grandes limitaciones de los modelos de lenguaje grandes que, eso sí, con una enorme habilidad para el juego de espejos, nos hacen creer que hay un ser consciente detrás de la pantalla. “A través de una amplia experimentación con distintos rompecabezas, demostramos que los LRM [modelos grandes de razonamiento] más avanzados enfrentan un colapso total de precisión más allá de ciertas complejidades”.

Qué es el localhost tracking y por qué has de conocerlo si usas Android

Meta, la matriz de Facebook e Instagram, ha desarrollado una sofisticada táctica de rastreo conocida como "localhost tracking" que habría afectado potencialmente a miles de millones de usuarios de Android. Esta técnica permitía a las apps nativas de Meta recibir de forma silenciosa datos de navegación, cookies y comandos desde scripts de Meta Pixel incrustados en miles de webs, enlazando así la actividad web móvil con la identidad del usuario y eludiendo las protecciones de privacidad habituales. El truco consistía en aprovechar la capacidad de Android para comunicarse internamente a través de la dirección "localhost" (127.0.0.1), utilizando puertos específicos y tecnologías como WebRTC y WebSocket para transferir información sensible directamente entre el navegador y las apps, sin que el usuario ni las herramientas de depuración estándar pudieran detectarlo.

El sistema evolucionó rápidamente: comenzó con simples peticiones HTTP, pasó a WebSockets y finalmente utilizó WebRTC con técnicas avanzadas como el "SDP Munging", donde las cookies se ocultaban en campos técnicos de los mensajes de red. De este modo, incluso si el usuario borraba cookies, navegaba en modo incógnito o no estaba logueado en Facebook o Instagram, Meta podía seguir asociando su actividad web con su cuenta mediante identificadores persistentes como el AAID de Android. La magnitud del rastreo es enorme: el Meta Pixel está presente en millones de webs y, según investigaciones, hasta el 78% de los sitios analizados en EE. UU. y la UE activaban este rastreo sin consentimiento explícito.

Tras la revelación pública y la presión de la comunidad de seguridad, los principales navegadores han implementado bloqueos y contramedidas para cerrar estos puertos y técnicas, y Meta ha dicho que dejaría de usar este método a partir de junio de 2025.

El salseo de la semana

Me veo obligado a añadir esta sección improvisada para comentar brevemente el estrafalario show del youtuber JPelirrojo, que ha vuelto a ser la comidilla en redes sociales esta semana después de ser padre y publicar unos vídeos cuanto menos extraños con los que presentar a su hijo al mundo. (Y sí, esto guarda una pequeña relación con el ámbito tecnológico).

El influencer, que acaba de tener un hijo con la bailarina Rebeca Lluva, sorprendió a todos al subir un reel a Instagram en la que demostraba su inquebrantable disciplina deportiva al no perdonar el entrenamiento de brazos ni siquiera con motivo del nacimiento de su hijo. En el vídeo, JPelirrojo levanta pesas en la habitación del hospital al lado de la cama de su pareja, con el recién nacido en brazos. El ex de Roenlared se defiende en la historia señalando que en todo momento ha estado al lado de su pareja para todo lo que hiciese falta, y que no ha incumplido ninguna norma de seguridad al entrenar en la habitación. No obstante, el vídeo se ha hecho viral en X en un mal sentido, donde multitud de usuarios comentan lo surrealista de la ocurrencia del creador de contenido.

¿Y la conexión con lo tech? Pues es que si miramos los últimos posts en Instagram del famoso pelirrojo, vemos que el que fuera líder de Septiembre13 ha estado usando la IA para crear contenidos que, aun siendo inofensivos, destacan por un mal gusto difícil de obviar. Además, el youtuber subió unas historias en las que mostraba conversaciones recientes con ChatGPT, entre ellas, una en la que le envía una foto de su recién nacido pidiéndole opinión sobre su físico: “No sé si puedes ver bien la foto y el brazo de Arturo [el nombre del niño], pero estoy por pedirle su rutina a mi hijo”, bromea con la IA.

Aunque la imagen en Instagram sí se publicó censurando la cara del niño, se sobreentiende que la imagen enviada a ChatGPT no, lo que suscita claras preocupaciones por la privacidad de la imagen de un recién nacido que, con apenas horas de vida, ya ha cruzado los servidores de una plataforma tecnológica estadounidense.

Fuentes:

• 404media - https://www.404media.co/ukraines-massive-drone-attack-was-powered-by-open-source-software/

• Adidas - https://cloud.link.adidas.com/data_es

• Cybersecuritynews - https://cybersecuritynews.com/track-android-users-covertly/

• El Español - https://www.elespanol.com/omicrono/software/20250604/tiktok-prohibe-hashtag-skinnytok-mundo-peligrosa-tendencia-fomenta-anorexia/1003743788197_0.html

• Banda Ancha - https://bandaancha.eu/foros/filtracion-datos-adidas-1756896

• AEPD - https://www.aepd.es/documento/ps-00097-2024.pdf

• Data Zoo - https://www.datazoo.com/the-alarming-rise-of-sim-swap-fraud