Multa a Yoigo de 4 millones de euros tras una brecha de seguridad que expuso datos sensibles de clientes

Una mala configuración interna dejó expuestos datos identificativos y bancarios durante semanas, lo que ha llevado a la AEPD a imponer una de sus sanciones más altas

Ni pirateo ni IPTV: la forma legal más barata para ver fútbol te cuesta 1 euro el mes
Telefónica y DAZN seguirán retransmitiendo LaLiga hasta 2032: el plan es que todos los partidos se puedan seguir viendo en Movistar Plus+

La operadora de MásOrange recibe la multa por parte de la AEPD

Pablo Hernando

Creada: 28.11.2025 18:00

Última actualización: 28.11.2025 18:00

La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 4 millones de euros a Yoigo por una brecha de seguridad que dejó expuestos datos sensibles de una cantidad no determinada de clientes. El incidente, ocurrido en 2023, se originó por un fallo técnico que permitió acceder a una herramienta interna sin la verificación adicional requerida.

La sanción es una de las más altas que recibe una operadora en España y se reparte en dos infracciones distintas: falta de medidas de seguridad adecuadas (1,5 millones de euros) y vulneración del principio de confidencialidad (2,5 millones de euros). La compañía presentará un recurso para intentar rebajar o anular la decisión.

Cómo se produjo el fallo, qué datos se filtraron y por qué la multa es tan alta

El origen del problema estuvo en Vista4Retail, la plataforma que utilizan las tiendas de Yoigo para tramitar operaciones. Durante más de un mes, entre febrero y marzo de 2023, un error en la configuración de los DNS desactivó sin querer el doble factor de autenticación. Ese fallo abrió la puerta a que, mediante unas credenciales, un tercero pudiera acceder al sistema sin ninguna barrera adicional.

Durante ese período, los intrusos pudieron acceder a información especialmente sensible. Hablamos de datos personales completos, incluyendo nombre, dirección, DNI y hasta el IBAN bancario asociado a algunos contratos. Para la AEPD, el nivel de exposición y el tipo de datos afectado demuestran que la operadora no aplicó medidas técnicas suficientes para proteger a sus clientes.

Por ello, la resolución divide la sanción de 4 millones de euros en dos partes:

2,5 millones de euros por comprometer la integridad y confidencialidad de la información.
1,5 millones por no contar con garantías de seguridad adecuadas.

Yoigo, por su parte, sostiene que se trató de un incidente excepcional provocado por la combinación de un error técnico y el uso de credenciales. Afirma además que actuó con rapidez al detectarlo: notificó a la AEPD, reforzó la seguridad de la plataforma y verificó si los datos habían sido publicados en foros o la Dark Web. Según asegura, no hay rastros de filtración pública.

La autoridad considera probado que la compañía no supervisó correctamente la configuración de los sistemas ni anticipó el riesgo que suponía la desactivación involuntaria del 2FA. No obstante, Yoigo recurrirá contra la resolución, tal y como indicó Banda Ancha.

Accede a tu cuenta para comentar

Client Challenge

JavaScript is disabled in your browser.

Please enable JavaScript to proceed.

A required part of this site couldn’t load. This may be due to a browser extension, network issues, or browser settings. Please check your connection, disable any ad blockers, or try using a different browser.