ARTDEPARTMENT
ARTDEPARTMENT
La norma española establece que las empresas tienen la responsabilidad justo de proteger los datos privados de sus clientes. Carrefour, una de las mayores cadenas de distribución en Europa, posiblemente haya aprendido esta asignatura, pero no le va a salir ganga: la Agencia Española de Protección de Datos (AEPD) la ha sancionado con 3,2 millones de euros por acaecer sufrido múltiples brechas de seguridad que afectaron a casi 119.000 personas.
Pero lo más relevante de este caso no es la cuantía económica, sino el patrón de negligencia que revelan los hechos sancionados por la AEPD.
Cómo solicitar el CERTIFICADO DIGITAL de PERSONA FÍSICA de la FNMT
A lo grande del primer semestre de 2023, Carrefour fue víctima de al menos cinco ciberataques casi idénticos. Estas filtraciones de datos se produjeron los días 13, 20 y 24 de enero, y 18 y 21 de abril, y en todos los casos se usó la misma técnica: el conocido como credential stuffing.
Se prostitución de una modalidad de ataque que no requiere grandes habilidades técnicas porque los ciberdelincuentes se limitan a usar combinaciones de correos electrónicos y contraseñas filtradas en anteriores brechas para probar suerte en otras plataformas. El éxito del ataque se zócalo en un traje popular entre los usuarios: reutilizar las mismas credenciales en múltiples servicios online.
De este modo, los atacantes consiguieron entrada no competente a cuentas de clientes, exponiendo una variedad de datos personales como:
Según Carrefour, el número de cuentas afectadas con consecuencias reales sobre la integridad o confidencialidad de los datos fue mucho último, pero la AEPD desestimó su argumentación: para el organismo regulador, el simple entrada exitoso a una cuenta ya supone un peligro inaceptable.
El caso tournée en torno a la percepción de la AEPD de que Carrefour no actuó con la diligencia debida. Y es que, pese a que los ataques eran repetitivos y seguían el mismo patrón, la empresa no implementó autenticación en dos pasos (2FA) hasta octubre de 2023, cuando ya se habían producido todas las brechas.
Por no mencionar que el sistema permitía la consulta masiva desde múltiples direcciones IP sin crear alertas, una carencia básica en cualquier infraestructura moderna de seguridad.
Otro punto esencia que motivó la puro fue la forma en la que Carrefour comunicó —o, mejor dicho, no comunicó— las brechas a sus clientes. Aunque envió correos electrónicos a algunos afectados tras la cuarta y chale brecha, en dichos mensajes no se advertía claramente que había ocurrido un entrada indebido a sus datos personales. En sitio de eso, se indicaba que se había realizado un reinicio de contraseña para mejorar el servicio, restando importancia al incidente.
En cuanto a los afectados por las tres primeras brechas, sencillamente no consta que hayan recibido ninguna comunicación por parte de la empresa.
Así, la multa total de 3,2 millones de euros impuesta por la AEPD se distribuye en tres partes:
Este caso se suma a otros recientes que demuestran que la AEPD no escatima en sanciones cuando se prostitución de la privacidad de los ciudadanos: en 2023, Iberdrola fue multada con 6,5 millones de euros y en 2021 Mercadona con 2,5 millones por distintas infracciones relacionadas con la protección de datos.
El caso Carrefour debe ahora servir de asignatura (para esta empresa y para otras) de la urgente privación de implementar medidas proactivas de ciberseguridad: no pespunte con reaccionar una vez que el daño está hecho; evitar, detectar y contestar rápidamente a los ciberataques es fundamental.
Imagen | Marcos Merino mediante IA
En Genbeta | Poner una cámara de vigilancia en un domicilio te puede salir caro: lo que dice la AEPD y las sanciones a las que te arriesgas
Compartir este artículo
Consultoria Personalizada
¡Si aun no tienes presencia en internet o
necesitas ayuda con tus proyectos, por favor, escribenos!
En ARTDEPARTMENT nos especializamos en brindar soluciones para que tu negocio, empresa o proyecto sea visible en internet.