Preguntas frecuentes

1. ¿Qué es un ataque cibernético? ¿Qué es un ransomware?

   Un ataque cibernético es un conjunto de acciones ofensivas contra sistemas de información, bases de datos o redes computacionales que pueden afectar a instituciones, particulares o empresas.
   Un ransomware es un tipo de ataque cibernético que consiste en restringir el acceso a determinados archivos informáticos y sistemas para, acto seguido, proceder a exigir un rescate a cambio de levantar dicha restricción de acceso.
   En ocasiones, este tipo de ataques suelen conllevar una filtración de datos a terceros, así como su destrucción, pérdida, alteración, comunicación o acceso no autorizado. El hecho de que los datos puedan ser filtrados no significa necesariamente que sean accesibles a cualquier persona, por ejemplo, mediante búsquedas abiertas en la red (ej: Google).

2. ¿Qué ha sucedido y cuál ha sido el alcance?

   El pasado domingo 11 de abril de 2021, Phone House sufrió un ciberataque de tipo ransomware, el cual ha sido ejecutado desde entornos externos y ajenos a la empresa. Este incidente ha supuesto un acceso parcial, no autorizado, a la base de datos de Phone House.
   Tras tener conocimiento de este hecho, Phone House activó inmediatamente el protocolo de seguridad para mitigar el riesgo y limitar el impacto del posible incidente y, en paralelo, activó un plan de contingencia con carácter prioritario para diagnosticar el impacto y solventar la situación a la mayor brevedad posible.
   A pesar del ciberataque la red de tiendas, los call centers y la web www.phonehouse.es han continuado operando con todas las garantías de seguridad.

3. ¿Cómo me afecta el incidente si mis datos están alojados en la base de datos de clientes de la compañía y qué datos personales se han visto impactados?

   Desgraciadamente, se ha producido un acceso parcial a las bases de datos de Phone House. En base a la información de la que disponemos en estos momentos, la descarga de dicha información no afectaría a la totalidad de los datos personales tratados por Phone House. No se han visto afectados los datos de las tarjetas de crédito o débito empleadas en nuestra web o en nuestras tiendas, ya que, gracias al cumplimiento estricto por parte de Phone House, de la normativa de servicios de pago y tratamiento de datos de tarjetas, no se almacenan en ningún caso en nuestros sistemas. Tampoco se han visto afectados los datos relacionados con las contraseñas de acceso al área privada / mi cuenta de www.phonehouse.es. Del mismo modo, no se han visto comprometidos datos personales especialmente sensibles, quedando implicados, en principio, únicamente el nombre y apellidos, DNI (o equivalente), correo electrónico, fecha de nacimiento, género, teléfono, dirección postal y productos/servicios contratados y en los casos que nos lo hayas facilitado el código de cuenta corriente.

4. ¿Debo avisar a mi banco para cambiar de cuenta bancaria o bloquear mis tarjetas de débito o crédito? ¿Puede alguien sacar dinero de mi cuenta bancaria o realizar pagos con esta información?

   No. En Phone House no almacenamos información de tarjetas de débito o crédito y, por tanto, en ningún caso tus tarjetas de débito o crédito se han visto comprometidas.
   En cuanto al número de cuenta bancaria, su conocimiento no sería suficiente para consultar o acceder a tu cuenta bancaria y, menos aún, para sustraer o transferir dinero desde tu cuenta bancaria a ningún sitio.
   Para acceder a consultar los movimientos de tu cuenta bancaria, es necesario conocer y utilizar tu clave de acceso a tu banca personal, clave de la que solo tú dispones. Para poder operar con tu cuenta bancaria es necesario además conocer y utilizar tu clave para operar en banca online, clave que, a su vez, sólo tú conoces. Adicionalmente, también sería necesario conocer y disponer de cualquier mecanismo adicional que tu banco tenga habilitado para garantizar la verificación de tu identidad (ej. SMS de confirmación) para lo cual es necesario disponer además de la tarjeta SIM de tu teléfono móvil. Alternativamente, sería necesario acreditar la identidad a través de la presentación de un documento oficial identificativo en una sucursal de manera presencial (DNI/NIE/Pasaporte).
   Ninguna de las claves antes descritas son conocidas y/ o almacenadas por Phone House y, por tanto, en modo alguno se han visto comprometidas como consecuencia del ransomware.

5. ¿Pueden acceder a mi correo electrónico o dispositivos móviles?

   No, los accesos a tu correo electrónico o dispositivos no están relacionados con este incidente, y no se han visto afectados.

6. ¿Debo cambiar mi contraseña de acceso al área privada de www.phonehouse.es?

   No es necesario puesto que este incidente no ha afectado a los datos relacionados con tu contraseña. Aun así, nunca está de más conocer y aplicar buenas prácticas en relación con la seguridad online, por lo que puedes aprovechar para renovar tu contraseña, si así lo deseas.

7. ¿Han sido utilizados los datos a los que se ha accedido con este ataque?

   El simple acceso y difusión de estos datos está considerado como delito. Sin embargo, hasta la fecha, no tenemos evidencia de que hayan sido utilizados con algún propósito fraudulento. No obstante, el equipo de expertos que hemos contratado continúa rastreando de forma permanente y te mantendremos informado de cualquier novedad al respecto.

8. ¿Me afecta el incidente si quiero comprar en una tienda Phone House o tengo alguna gestión pendiente con alguna de ellas?

   Desde un primer momento, las tiendas Phone House siguen abiertas en su horario habitual y en ellas se pueden adquirir todos los productos y servicios con todas las garantías de seguridad, así como terminar todos los trámites que estuvieran en curso, ya que Phone House conserva intacta la información previa, así como la totalidad de los aplicativos utilizados en su operativa habitual, por lo que nuestro compromiso de servicio y comunicación con nuestros clientes está garantizado.

9. ¿Me afecta el incidente si quiero comprar en la web www.phonehouse.es o a través de sus servicios de Atención al Cliente?

   La web y los call centers de Phone House también han continuado operando con total normalidad y con todas las garantías de seguridad.

10. ¿Qué está haciendo Phone House para solucionarlo?

    Desde el mismo momento en que se conoció el incidente, la Dirección de la compañía puso en marcha el plan de contingencia con el protocolo previsto:

    • Se aisló la información y todas las redes afectadas, de manera inmediata.
    • Se garantizó la continuidad de la operación con procedimientos seguros alternativos.
    • Se notificó el incidente a la Agencia Española de Protección de Datos (AEPD).
    • La compañía se puso en contacto con la Brigada Central de Investigación Tecnológica (BCIT) de la Policía Nacional para seguir los protocolos correspondientes, así como sus recomendaciones y, se ha procedido a presentar la correspondiente denuncia

    También desde el primer momento que se ha conocido este hecho, se ha contado con los servicios y el asesoramiento continuo, 24 horas al día, de una de las principales compañías del país especializadas en servicios de ciberseguridad.
    El protocolo continuará activo, de manera permanente, hasta que todas las acciones pertinentes hayan sido llevadas a término de manera satisfactoria.

11. ¿Qué está haciendo Phone House para que no se repita en el futuro?

    A pesar de que en Phone House ya contábamos con todas las medidas de seguridad requeridas por la normativa de protección de datos, así como con aquellas definidas por diferentes estándares internacionales; dado que la ciberseguridad es uno de los pilares esenciales sobre el que se construye Phone House, continuaremos invirtiendo y evolucionando nuestra arquitectura de sistemas y redes para garantizar en todo momento los estándares más actualizados en medidas de ciberseguridad.

12. ¿Debo realizar alguna acción como afectado?

    No es necesario.

13. ¿Cómo puedo ampliar información sobre los hechos acontecidos?

    Para solventar cualquier duda que pueda surgirte al respecto, te recordamos que nuestro Delegado de Protección de Datos está a tu disposición, al que puedes dirigirte mediante el siguiente formulario: https://www.phonehouse.es/rgpd/dpo.

14. Además de Phone House, ¿quién más me puede guiar? ¿Qué otras recomendaciones puedo seguir?

    Recuerda que tienes a tu disposición líneas de ayuda en las sociedades y organismos dependientes del Ministerio de Asuntos Económicos y Transformación Digital: el INCIBE y la Agencia Española de Protección de Datos.
    El INCIBE pone a disposición de empresas y ciudadanos una línea telefónica gratuita de ayuda en ciberseguridad: 017. “Podrán realizarse consultas en horario de 9:00 a 21:00 horas durante todos los días del año (incluidos sábados, domingos y festivos)”, según señala la web https://www.incibe.es/linea-de-ayuda-en-ciberseguridad.
    Preservar la ciberseguridad es una lucha continua en la que todos - instituciones, empresas, particulares y autoridades competentes estamos juntos. Desde Phone House, condenamos enérgicamente este incidente y trabajamos sin descanso para llevar a término este proceso de manera satisfactoria mientras mantenemos los máximos niveles de servicio operativos.

Muchas gracias por vuestra atención y vuestra comprensión.
El Equipo de Phone House