Vodafone y Lowi: filtran documentacion interna y credenciales de acceso a herramientas de televenta a traves de un proveedor externo
Eric Serrano Bustos
El 29 de junio de 2026, un actor de amenazas identificado como PescobarLegado publico en un foro especializado de la dark web un paquete de datos de 1 GB que pone a la venta por 400 dolares. El lote no procede de los sistemas centrales de Vodafone, sino de Be Call BPO, la empresa externalizada que gestiona los servicios de captacion telefonica del grupo para las marcas Vodafone y Lowi. Vodafone confirmo a medios especializados que esta investigando los hechos. Lo que hace especialmente grave este incidente no es unicamente el volumen de registros expuestos, casi un millon segun la hoja de seguimiento publicada por el atacante, sino la naturaleza de la informacion: documentacion interna, flujos operativos e instrucciones de acceso a las herramientas criticas que los agentes de call center utilizan a diario para configurar tarifas, financiar terminales y contratar servicios en nombre de la operadora. El incidente llega apenas dias despues de otras dos filtraciones en el sector de las telecomunicaciones espanolas: la brecha en el operador virtual Lemmon y la publicacion de mas de 50.000 registros de Netllar.
¿Que se sabe de la filtracion de Vodafone y Lowi a traves de Be Call BPO?
Los hechos documentados por Roams y BandaAncha son los siguientes:
Origen: Be Call BPO, la empresa de externalizacion (Business Process Outsourcing) que opera como colaborador directo de Vodafone para la captacion de nuevos clientes de las marcas Vodafone y Lowi mediante televenta.
Volumen: casi un millon de registros, concretamente 956.874 segun la hoja de seguimiento incluida en el anuncio del atacante.
Precio de venta: 400 dolares por el paquete completo de 1 GB, un precio bajo que sugiere que el atacante prioriza una venta rapida sobre la maximizacion del beneficio.
Prueba de autenticidad publicada: 13 archivos PDF que describen en detalle el ecosistema de herramientas de front-office y back-office que utilizan los agentes de Be Call BPO. Los sistemas documentados incluyen Smart y RetailX, las plataformas desde las que se configuran los paquetes comerciales y se emiten las ordenes de trabajo hacia los sistemas centrales de Vodafone.
Herramientas y paneles expuestos: el panel de BackOffice de Lowi Televenta, el Offer Configurator integrado con RetailX para empaquetar tarifas de particulares y microempresas, el modulo Device Purchases para la financiacion de terminales, y las secciones de contratacion de Vodafone TV y DAZN.
El elemento mas critico: el atacante afirma disponer de instrucciones de acceso a la aplicacion de cliente OneWay, configuraciones de escritorio remoto y los denominados codigos OCM, que identifican internamente las campanas y canales comerciales. Mientras Vodafone no invalide esas credenciales, el comprador del paquete podria mantener acceso operativo real a los sistemas.
Datos personales de clientes: ninguna de las muestras publicadas hasta el momento contiene datos personales de clientes, aunque la base de datos completa que se vende podria incluirlos segun el propio anuncio.
Antiguedad de los datos: el anuncio del atacante menciona fechas de mayo de 2026, lo que indica que la informacion es reciente.
Respuesta de Vodafone: la operadora confirmo a medios especializados que esta investigando los hechos, sin ofrecer mas detalles publicos a la fecha de este articulo.
Por que el riesgo de terceros es el patron que se repite en el sector de telecomunicaciones espanol
Este incidente no es la primera vez que Vodafone ve comprometida su cadena de colaboradores. En noviembre de 2023, un acceso no autorizado a un distribuidor expuso datos personales y bancarios de clientes, incluyendo DNI, telefono, correo electronico, numero de linea contratada y numero de cuenta bancaria para clientes de contrato. Tras aquel incidente, INCIBE y la Guardia Civil emitieron alertas dirigidas a los afectados. El esquema se repite de forma casi identica: en ambos casos, el origen no son los sistemas centrales de Vodafone, sino los de un tercero con acceso privilegiado a sus herramientas. Cuatro factores explican por que este patron es tan persistente en el sector:
La externalizacion comercial multiplica el numero de puntos de entrada. Cuando una operadora subcontrata la captacion telefonica a un BPO externo, ese proveedor necesita acceso operativo real a las herramientas de configuracion de tarifas, financiacion y contratacion. Cada colaborador externo con ese nivel de acceso es una superficie de ataque adicional que la operadora no controla directamente.
La documentacion interna es mas valiosa a largo plazo que los datos de clientes. Una base de datos de clientes tiene un valor de explotacion inmediato pero decreciente en el tiempo. La documentacion operativa, los flujos de trabajo y las instrucciones de acceso a sistemas criticos tienen un valor persistente: permiten preparar ataques de ingenieria social mucho mas precisos y creibles, porque el atacante conoce exactamente como funciona la contratacion real de la compania.
Las credenciales pueden seguir activas despues de la filtracion. A diferencia de una base de datos de clientes robada, que es estatica, las credenciales de acceso a sistemas operativos representan un riesgo continuo mientras no se revoquen explicitamente. El comprador del paquete podria tener acceso funcional a las herramientas de Vodafone hasta que la operadora identifique y neutralice cada credencial expuesta.
El patron se repite en todo el sector de telecomunicaciones espanol. En las ultimas semanas, ademas de este incidente, se han hecho publicas filtraciones en el operador virtual Lemmon (24.000 registros con ICCID y PUK) y en Netllar (mas de 50.000 registros). El denominador comun es la dependencia de terceros y proveedores en la cadena operativa de las telecos.
Como se traduce este tipo de filtracion en riesgo real para clientes y empresas
La ausencia de datos personales de clientes en las muestras publicadas no significa que el riesgo sea bajo. La documentacion interna filtrada habilita varios vectores de ataque posteriores:
Llamadas comerciales falsas altamente creibles. Un atacante con conocimiento real de como funciona la contratacion interna de Vodafone y Lowi puede hacerse pasar por un comercial legitimo con un nivel de credibilidad muy superior al de un fraude generico.
Intentos de suplantacion ante el propio soporte tecnico. Conocer los flujos operativos internos y los codigos de campana permite a un atacante intentar hacerse pasar por un agente legitimo de Be Call BPO ante otros sistemas o interlocutores de la cadena.
Acceso operativo persistente si las credenciales no se revocan. Si Vodafone no identifica y neutraliza todas las credenciales expuestas, existe riesgo de que terceros mantengan acceso funcional a herramientas de configuracion comercial.
Preparacion de ataques dirigidos contra la red comercial. La documentacion interna puede usarse para preparar campanas de phishing o ingenieria social dirigidas contra otros agentes de la red comercial, aprovechando el conocimiento detallado de los procesos internos.
Lecciones clave para empresas que externalizan procesos comerciales o de atencion al cliente
Externalizar procesos comerciales no puede significar externalizar tambien el control de seguridad. La responsabilidad de auditar la seguridad de ese acceso sigue siendo de la empresa principal, no solo del proveedor.
Las credenciales de terceros deben tener ciclos de rotacion y revocacion definidos. Establecer politicas de rotacion periodica y protocolos de revocacion inmediata ante cualquier sospecha de compromiso reduce la ventana de exposicion.
La documentacion operativa interna merece la misma proteccion que los datos de clientes. Muchas organizaciones descuidan la proteccion de manuales operativos, flujos de trabajo e instrucciones de acceso a sistemas, que en manos equivocadas son igual o mas peligrosos.
Auditar el acceso de terceros con la misma rigurosidad que el acceso interno. Cualquier proveedor externo deberia estar sujeto a las mismas politicas de MFA, monitorizacion y revision periodica de permisos que los empleados internos.
Preparar a los equipos de atencion al cliente ante el riesgo de suplantacion informada. Formar a los equipos para verificar identidad mas alla del conocimiento operativo aparente es una medida de mitigacion necesaria.
La ciberseguridad como prioridad estrategica
El incidente de Vodafone y Be Call BPO es el tercer caso de filtracion en el sector de telecomunicaciones espanol documentado en apenas unas semanas, tras Lemmon y Netllar. El patron comun no es tecnico, es estructural: la cadena de suministro de las operadoras incluye multiples proveedores externos con acceso operativo real a sistemas criticos, y ese acceso rara vez recibe el mismo nivel de escrutinio que los sistemas internos. Para las empresas espanolas que externalizan procesos comerciales o de atencion al cliente, la pregunta de hoy es directa: sabes exactamente que credenciales y que nivel de acceso tienen tus proveedores externos a tus sistemas criticos, y tienes un protocolo definido para revocarlas de inmediato si se produce una sospecha de compromiso?
Apolo Cybersecurity: gestion de riesgo de terceros y auditoria de proveedores con acceso a sistemas criticos
En Apolo Cybersecurity ayudamos a organizaciones a gestionar el riesgo de terceros en su cadena operativa: auditoria de accesos concedidos a proveedores BPO y colaboradores externos, diseno de politicas de rotacion y revocacion de credenciales de terceros, revision de la seguridad de la documentacion operativa interna, implementacion de MFA y monitorizacion para accesos de proveedores externos, y formacion de equipos de atencion al cliente frente a intentos de suplantacion informada.
Si tu empresa externaliza procesos comerciales o de atencion al cliente y no tienes un inventario claro de que credenciales y accesos mantienen tus proveedores externos a tus sistemas criticos, este es el momento de revisarlo.