La normativa española establece que las empresas tienen la responsabilidad legal de proteger los datos privados de sus clientes. Carrefour, una de las mayores cadenas de distribución en Europa, posiblemente haya aprendido esta lección, pero no le va a salir barato: la Agencia Española de Protección de Datos (AEPD) la ha sancionado con 3,2 millones de euros por haber sufrido múltiples brechas de seguridad que afectaron a casi 119.000 personas.
Pero lo más relevante de este caso no es la cuantía económica, sino el patrón de negligencia que revelan los hechos sancionados por la AEPD.
La cronología de los ciberataques
A lo largo del primer semestre de 2023, Carrefour fue víctima de al menos cinco ciberataques casi idénticos. Estas filtraciones de datos se produjeron los días 13, 20 y 24 de enero, y 18 y 21 de abril, y en todos los casos se usó la misma técnica: el conocido como credential stuffing.
Se trata de una modalidad de ataque que no requiere grandes habilidades técnicas porque los ciberdelincuentes se limitan a usar combinaciones de correos electrónicos y contraseñas filtradas en anteriores brechas para probar suerte en otras plataformas. El éxito del ataque se basa en un hábito común entre los usuarios: reutilizar las mismas credenciales en múltiples servicios online.
Los datos expuestos
De este modo, los atacantes consiguieron acceso no autorizado a cuentas de clientes, exponiendo una variedad de datos personales como:
- Nombre y apellidos.
- Correo electrónico.
- Teléfono.
- Dirección postal.
- DNI o NIE.
- Fecha de nacimiento.
- En algunos casos, datos bancarios y programas de fidelización como los ‘chequesAhorro’.
Según Carrefour, el número de cuentas afectadas con consecuencias reales sobre la integridad o confidencialidad de los datos fue mucho menor, pero la AEPD desestimó su argumentación: para el organismo regulador, el simple acceso exitoso a una cuenta ya supone un riesgo inaceptable.
Falta de diligencia, medidas insuficientes
El caso gira en torno a la percepción de la AEPD de que Carrefour no actuó con la diligencia debida. Y es que, pese a que los ataques eran repetitivos y seguían el mismo patrón, la empresa no implementó autenticación en dos pasos (2FA) hasta octubre de 2023, cuando ya se habían producido todas las brechas.
Por no mencionar que el sistema permitía la consulta masiva desde múltiples direcciones IP sin generar alertas, una carencia básica en cualquier infraestructura moderna de seguridad.
Aquí no ha pasado nada
Otro punto clave que motivó la sanción fue la forma en la que Carrefour comunicó —o, mejor dicho, no comunicó— las brechas a sus clientes. Aunque envió correos electrónicos a algunos afectados tras la cuarta y quinta brecha, en dichos mensajes no se advertía claramente que había ocurrido un acceso indebido a sus datos personales. En lugar de eso, se indicaba que se había realizado un reinicio de contraseña para mejorar el servicio, restando importancia al incidente.
En cuanto a los afectados por las tres primeras brechas, sencillamente no consta que hayan recibido ninguna comunicación por parte de la empresa.
La negligencia pasa (abultada) factura
Así, la multa total de 3,2 millones de euros impuesta por la AEPD se distribuye en tres partes:
- 2 millones de euros por violar el principio de integridad y confidencialidad de los datos (infracción muy grave).
- 1 millón de euros por no establecer medidas de seguridad adecuadas (infracción grave).
- 200.000 euros por no comunicar correctamente las brechas a los afectados (infracción leve).
Para tomar nota
Este caso se suma a otros recientes que demuestran que la AEPD no escatima en sanciones cuando se trata de la privacidad de los ciudadanos: en 2023, Iberdrola fue multada con 6,5 millones de euros y en 2021 Mercadona con 2,5 millones por distintas infracciones relacionadas con la protección de datos.
El caso Carrefour debe ahora servir de lección (para esta empresa y para otras) de la urgente necesidad de implementar medidas proactivas de ciberseguridad: no basta con reaccionar una vez que el daño está hecho; prevenir, detectar y responder rápidamente a los ciberataques es vital.
Imagen | Marcos Merino mediante IA
–
La noticia
Carrefour sufrió cinco ciberataques idénticos y tardó 10 meses en reaccionar. Ahora, la AEPD les multa con 3,2 millones de euros
fue publicada originalmente en
Genbeta
por
Marcos Merino
.
