La Audiencia Nacional investigará un ciberataque masivo a la CNMC que afectó a datos de titulares de telefonía móvil

La Audiencia Nacional ha asumido la competencia para investigar un ciberataque masivo que sufrió la Comisión Nacional e los Mercados y la Competencia (CNMC) en el que se produjo la exfiltración de 2.000 millones de registros de datos sensibles correspondientes a titulares de telefonía móvil que dicho organismo custodia. La titular del Juzgado Central de Instrucción número 3, María Tardón, ha aceptado dirigir las pesquisas que inició un juzgado de Madrid, al considerar que el hackeo se dirigió contra un “alto organismo de la Nación” y pueden ser tipificados como delito de ataques informáticos y contra la seguridad nacional.

La investigación comenzó en el Juzgado de Instrucción 27 de Madrid por un presunto delito de daños informáticos, si bien el pasado mes de noviembre decidió inhibirse en favor de la Audiencia Nacional al entender que sus competencias quedaban superadas. La Fiscalía informó en contra de que un órgano central de instrucción conozca el procedimiento porque, pese a “su importante función”, entiende que la CNMC no puede calificarse como una “institución del Estado” que prevé la Ley Orgánica del Poder Judicial, que fija las competencias de la Audiencia Nacional en relación con los delitos contra las instituciones del Estado y la división de poderes.

La jueza Tardón discrepa del criterio y considera que el organismo que preside Cani Fernández sí debe concebirse como un “alto organismo de la Nación”. El auto repasa la doctrina del Tribunal Supremo sobre las competencias de la Audiencia Nacional asentada en una sentencia de noviembre de 2021 en la que consideró que el órgano era competente para investigar el asedio del Parlament de Cataluña de 2011. El alto tribunal señaló para ello la necesidad de que se cumplan dos requisitos: que el delito se haya cometido contra un alto organismo de la Nación o institución del Estado; y que afecte a la “la dignidad y normal funcionamiento de esas instituciones”.

Para la magistrada de la Audiencia Nacional, ambas exigencias se cumplen en el caso de este ciberataque. Según explica en su auto, la CNMC se configura como un organismo público en la Ley de Organización y Funcionamiento de la Administración General del Estado. Y añade que la Ley de creación del órgano determina que su función es promover y preservar “el buen funcionamiento de todos los mercados, en interés de los consumidores y de las empresas”.

Así las cosas, Tardón afirma que todavía es “prematuro” inferir cuál pudiera ser la finalidad perseguida por el o los autores del hackeo a la CNMC. No obstante, subraya que “sí resulta claramente objetivado, desde este momento inicial de las investigaciones, es que nos encontramos ante un ciberataque masivo contra una entidad que, por su incardinación en la estructura del Estado y su esencial función en los términos indicados, supone una grave e indudable afectación institucional, en un ámbito tan particularmente sensible y relevante para su normal funcionamiento como el del control del correcto funcionamiento, la transparencia y la existencia de una competencia efectiva en todos los mercados y sectores productivos, en beneficio de los consumidores y usuarios”.

El ataque informático a la CNMC, cuya fecha no detalla el auto y fuentes de la CNMC apuntan que se trata de “información confidencial”, se produjo mediante el acceso ilícito a sus servicios informáticos con la posible exfiltración masiva de datos personales que corresponden a titulares de línea de telefonía móvil. En concreto, 2.000 millones de registros, en total 240 GB de datos de los abonados a las líneas telefónicas de España y que por las competencias de la CNMC son custodiados en este organismo.