La filtración de datos sufrida por SK Telecom en 2025 ya no es solo un episodio grave en la historia de la ciberseguridad surcoreana; es oficialmente uno de los más costosos. Esta semana, la Comisión de Protección de Información Personal (PIPC, por sus siglas en inglés) impuso a la operadora una multa récord de 134.800 millones de wones (97,2 millones de dólares), acompañada de una sanción administrativa adicional de 9,6 millones de wones (unos 6.900 dólares). Según el regulador, la compañía incurrió en “fallos básicos de seguridad y una gestión deficiente” que facilitaron una intrusión a gran escala, según un artículo de The Korea Herald .
La cifra es inferior a los 350.000 millones de wones (unos 252 millones de dólares) que se barajaban como tope máximo —equivalente al tres por ciento de los ingresos anuales del operador móvil—, pero supera ampliamente multas anteriores impuestas a gigantes como Google, Meta o Kakao.
Se convierte así en un punto de inflexión regulatorio no solo por su magnitud, sino por su fundamento técnico ya que 26,1 millones de claves de autenticación SIM almacenadas en texto plano, redes internas expuestas sin segmentación adecuada, parches de seguridad no aplicados desde 2016, y una arquitectura que vinculaba innecesariamente servidores de gestión con el núcleo de suscriptores (HSS).
La investigación reveló que fueron comprometidos datos de 23,2 millones de usuarios móviles de servicios LTE, 5G y también de operadores móviles virtuales (MVNOs) soportados por SKT. En total, se vieron afectados 25 tipos distintos de datos personales, desde números de teléfono e IMSI hasta credenciales críticas como las claves Ki.
La empresa, aunque reconoció su “gran responsabilidad” en el incidente, expresó su decepción por lo que consideró una falta de reconocimiento a las medidas de remediación adoptadas. Entre ellas, destacan la entrega gratuita de SIMs nuevas, la compensación a canales de distribución afectados, la renuncia a aplicar penalizaciones por terminación anticipada de contrato, descuentos del 50 por ciento en las facturas de agosto, datos adicionales para los clientes, y una ampliación de beneficios de fidelización.
Estas medidas ya habían sido estimadas en más de 367 millones de dólares, a los que se suma una previsión de ingresos reducida en otros 587 millones.
A ello se añade un compromiso de inversión de 700.000 millones de wones (unos 514 millones de dólares) en nuevos sistemas de seguridad, personal especializado y reformas estructurales, incluyendo una redefinición del rol del Chief Privacy Officer (CPO) y la gobernanza general de ciberseguridad. Aunque no forma parte explícita de la sanción del regulador, la presión institucional y reputacional hace que esta inversión funcione como una penalización indirecta pero sustancial.
El caso de SK Telecom, a diferencia de otros incidentes globales, no ha quedado limitado al ámbito de la opinión pública o de litigios privados. Aquí, la acción del Estado ha sido rápida, visible y sistemática, al punto de marcar un nuevo estándar nacional. No obstante, sería un error presentar a Corea como una excepción. En mercados como Estados Unidos o Australia, las consecuencias de brechas masivas han sido igualmente severas, con litigios colectivos, reformas legislativas y sanciones multimillonarias. La diferencia no está en el castigo, sino en la forma y el canal por el que se articula.
Más allá del monto de la multa o del número de usuarios afectados, lo que está en juego es el modelo de gobernanza digital de los operadores. La integración entre redes internas y sistemas críticos, la falta de segregación de funciones, y una cultura que a veces posterga la ciberseguridad en nombre de la eficiencia o la velocidad, son problemas que exceden este caso puntual. Si la mayor telco del país puede cometer estos errores durante años sin detectarlos —o sin reportarlos—, ¿qué cabe esperar de actores más pequeños, con menos recursos o menor presión institucional?
El episodio obliga a repensar si las inversiones en ciberseguridad son aún vistas como un costo o ya se entienden como una necesidad estratégica. La reacción posterior de SKT fue robusta, pero también tardía. Y aunque ha logrado contener parcialmente el daño comercial, no podrá evitar que este caso quede como un hito en la historia de la regulación de datos personales en telecomunicaciones.
La lección para el resto del sector es doble porque demuestra ningún operador está por encima del escrutinio, y ningún sistema es seguro si sus principios básicos son ignorados. Más que un escándalo local, este es un espejo global. Y lo que muestra no es solo un fallo técnico, sino una vulnerabilidad institucional que la industria ya no puede permitirse esconder debajo de la alfombra.
