Cómo ISO 27001 previene incidentes como el de Wom
Análisis aplicado de los controles ISO/IEC 27001:2022 que reducen el riesgo de filtraciones en operadores de telecomunicaciones, tomando el caso Wom como ejemplo: gestión de la nube, configuración segura, control de proveedores y datos personales.
Cuando se habla de filtraciones en operadores de telecomunicaciones chilenos, sea la alerta de la ANCI del 1 de mayo de 2026 o el bullado caso del directorio en la nube de Wom expuesto en 2024, el diagnóstico técnico suele apuntar a las mismas causas: configuraciones incorrectas en la nube, controles de acceso pobres, monitoreo deficiente y gestión laxa de proveedores. Todas tienen una respuesta sistemática en ISO/IEC 27001:2022.
Anatomía de un incidente típico de telco
Repasemos el patrón. En 2024, Wom expuso accidentalmente un directorio en la nube sin protección con más de un millón de contratos móviles. En 2026, la ANCI investigó reportes de un actor distribuyendo datos asociados a operadores. ¿Qué tienen en común estos casos?
Datos personales masivos (el activo más sensible y atractivo). Almacenamiento en la nube o en sistemas con exposición externa. Configuración por defecto insuficiente (buckets públicos, ACLs mal definidas). Falta de detección oportuna (el dato circula antes de que la empresa se entere). Y cadena de proveedores: terceros que tocan datos sin los mismos controles.
ISO/IEC 27001:2022 tiene controles específicos para cada uno.
Los controles que cambian la película
A.5.23: Seguridad en servicios en la nube
Este es el control más relevante para el caso de los buckets expuestos. Exige establecer, implementar y operar procesos de adquisición, uso, gestión y salida de servicios en la nube, considerando los requisitos de seguridad de la información.
En la práctica eso significa una línea base de configuración segura para AWS S3, Azure Blob y Google Cloud Storage, bloqueo por defecto del acceso público a buckets que contengan datos personales, cifrado obligatorio en reposo y en tránsito, auditoría continua con herramientas tipo CSPM (Cloud Security Posture Management), y roles claros entre las responsabilidades del proveedor cloud y del cliente.
A.8.9: Gestión de configuración
Exige que las configuraciones de hardware, software, servicios y redes se establezcan, documenten, implementen, monitoreen y revisen. Aplicado a una telco con miles de servicios, eso son plantillas seguras (Infrastructure as Code) revisadas en pipeline, detección automática de drift cuando una configuración cambia respecto a la línea base, y aprobaciones formales para cambios críticos.
Un bucket público no debería poder existir sin que el control automático lo detecte el mismo día.
A.8.12: Prevención de fuga de información (DLP)
Introduce explícitamente el requisito de prevenir la fuga de información. En una telco eso son DLP en correo y endpoints para detectar exfiltración de archivos masivos, DLP en la red para monitorear transferencias inusuales, y watermarking o hash de archivos sensibles que permita identificar el origen de filtraciones.
A.5.19 a A.5.22: Gestión de proveedores
Las telcos son ecosistemas complejos: BSS, OSS, plataformas de cobranza, integraciones de portabilidad, agencias de marketing con datos. Esta familia exige política formal sobre seguridad en relaciones con proveedores, cláusulas contractuales con requisitos específicos, gestión activa de cambios en servicios prestados, y monitoreo del cumplimiento.
Muchos incidentes en el sector telco no salen de la empresa: salen de un proveedor con menos rigor.
A.5.15 y A.5.18: Control de accesos
Quién tiene acceso a la base de clientes, qué puede hacer ahí y por cuánto tiempo. La revisión periódica es la diferencia entre tener "10 personas con acceso a producción" y "120 ex-empleados con tokens activos".
A.8.5: Autenticación segura
MFA obligatorio para todo acceso a sistemas con datos personales: portales de gestión, consolas cloud, herramientas de billing, sistemas de soporte. Para un cliente, el equivalente es exigir un PIN adicional para SIM swap o portabilidad.
A.8.16: Monitoreo
En una telco, monitorear significa SIEM con casos de uso del negocio: cambios masivos de SIM en horas atípicas, descargas inusuales de bases de clientes, accesos privilegiados fuera de ventanas autorizadas, y aparición de datos en pastebins o foros (threat intel).
A.5.34: Privacidad y protección de datos personales
Establece que la organización debe identificar y cumplir requisitos sobre la preservación de la privacidad y la protección de datos personales según leyes y regulaciones aplicables. En Chile eso conecta directamente con la Ley 21.719: inventario de datos personales tratados, bases de licitud documentadas, procesos de derechos ARCO+P operativos, DPIA para tratamientos de alto riesgo, y notificación de brechas a la APDP en plazos breves.
A.5.24 a A.5.28: Gestión de incidentes
Para una telco, "tener un plan de respuesta" no es opcional ni un PowerPoint: es un proceso ensayado, con responsables claros, comunicaciones preaprobadas y conexión directa con el regulador y con el CSIRT del Gobierno.
La diferencia entre exponer y blindar
ISO 27001 transforma cinco vectores típicos del sector telco en cinco capas de defensa concretas:
| Vector típico | Control ISO 27001 | Resultado |
|---|---|---|
| Bucket público sin querer | A.5.23, A.8.9 | Bloqueo por defecto y detección automática |
| Credencial robada | A.8.5, A.8.2 | MFA y privilegios mínimos limitan el daño |
| Proveedor con mala higiene | A.5.19–A.5.22 | Cláusulas y auditoría reducen el riesgo |
| Datos extraídos sin alertar | A.8.12, A.8.16 | DLP y monitoreo detectan en horas, no semanas |
| Brecha sin notificar | A.5.24–A.5.28, A.5.34 | Notificación a APDP/ANCI dentro del plazo |
Por qué importa especialmente en Chile
La Ley 21.719 entró a un escenario donde el sector telecomunicaciones acumula incidentes y desconfianza. Las multas pueden llegar al 4% de los ingresos anuales del operador, y la APDP, junto a la ANCI, tienen mandato y herramientas para investigar.
Para una empresa como Wom o cualquier otra del sector, certificarse en ISO/IEC 27001 no es un sello de marketing: es la prueba demostrable de que sus controles están a la altura del riesgo y de la ley. Y, en caso de incidente, acorta dramáticamente la conversación con el regulador y con los titulares afectados.
¿Tu telco está revisando sus controles ahora que la regulación aprieta? En FideliNorm acompañamos a operadores y proveedores de servicios masivos a hacer diagnósticos GAP y DPIA específicos para datos de millones de clientes, implementar controles cloud-native (CSPM, IaC seguro, política de buckets), diseñar y ensayar playbooks de respuesta alineados con ANCI y Ley 21.719, y preparar la certificación ISO/IEC 27001:2022. Conversemos y construyamos un plan ejecutable, con prioridades, costos y tiempos claros.
Cumplimiento normativo en tu correo, una vez al mes.
Análisis prácticos sobre ISO 50001 (gestión de la energía), ISO 27001 (seguridad de la información) y la nueva Ley 21.719 de protección de datos personales en Chile. Sin spam — solo artículos útiles para empresas que se preparan para certificarse o cumplir.
Al suscribirte aceptas recibir correos de FideliNorm. Puedes darte de baja en cualquier momento.
¿Necesitas certificar ISO 50001 en tu empresa?
En FideliNorm acompañamos el proceso completo: diagnóstico, diseño documental, capacitación y auditoría.
Solicitar una consulta →