Protección de Datos sanciona a la cadena por no establecer las medidas de seguridad necesarias para evitar el robo de datos de sus clientes en seis ciberataques que utilizaron exactamente la misma técnica
El timo del iPhone nuevo: así funciona la estafa que suplanta a las operadoras para cambiar de móvil
La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por múltiples infracciones graves relacionadas con la seguridad y el manejo de los datos personales de sus clientes. La sanción llega una investigación que ha revelado fallos significativos en la protección de información sensible, que se vio comprometida hasta por seis ciberataques sufridos por la cadena en 2023. Estos afectaron a un total de 118.954 personas.
La técnica utilizada por los ciberdelincuentes fue el “credential stuffing”, un tipo de ataque que, en lugar de intentar desentrañar las contraseñas de los usuarios con fuerza bruta informática, se basa en el uso automatizado de combinaciones de correos electrónicos y contraseñas previamente filtradas en otras brechas de seguridad. Los atacantes prueban estas credenciales en masa en distintos servicios, confiando en que muchos usuarios reutilizan las mismas contraseñas en múltiples plataformas.
En el caso de Carrefour, esta práctica permitió repetidos accesos no autorizados a cuentas de clientes, exponiendo sus datos personales. Los paquetes de información robada difirieron en cada una de las brechas, incluyendo desde referencias que permiten la identificación de los usuarios (nombre, apellidos, correo electrónico, teléfono de contacto, DNI o NIE, dirección postal y fecha de nacimiento) hasta datos económicos o financieros (aunque sin medios de pago directos) credenciales de acceso a sus servicios, como usuario y contraseña.
Durante la investigación, Carrefour argumentó que el número de cuentas donde se confirmó la validez de credenciales (118.895) no implica un acceso a datos personales en todos los casos. La cadena francesa asegura que la afectación real a la integridad de las cuentas solo fue de 234 casos y a la confidencialidad de 973 casos. No obstante, la AEPD ha rechazado este argumento, afirmando que el acceso exitoso a las contraseñas ya implica un alto riesgo y una pérdida de control sobre los datos de las 118.895 cuentas de cliente afectadas.
La cuantía de la multa deriva de tres infracciones de la normativa de privacidad. Por un lado, por una violación “muy grave” del principio de integridad y confidencialidad de los datos, por el que la Agencia multa a Carrefour con dos millones de euros; a la que se suma otra calificada como “grave” por no establecer las correctas medidas de seguridad para evitar estos ciberataques, sancionada con otro millón de euros. Por último, el regulador establece una tercera sanción “leve” por no comunicar correctamente lo sucedido a los afectados, de 200.000 euros.
La AEPD destaca varias deficiencias por parte de Carrefour durante la investigación, que a juicio del regulador justifican la sanción. Por ejemplo, que la empresa no implementó la medida de seguridad del doble factor de autentificación (confirmación de identificación a través de un método adicional a la contraseña) hasta después de la quinta brecha. Además, sus sistemas permitían la consulta masiva de información desde direcciones IP distintas sin detectarlo como una anomalía.
elDiario.es se ha puesto en contacto con Carrefour para incluir su posición en esta información y preguntar si planea recurrir la sanción ante la Audiencia Nacional, pero todavía no ha recibido respuesta. La cadena, no obstante, no ha ejercido la posibilidad de reducir un 20% la cuantía de la sanción por asunción de responsabilidad, ni el 20% adicional por pronto pago.
Riesgo de suplantaciones
El tipo de datos robados a Carrefour son la materia prima que los ciberdelincuentes utilizan para realizar ataques de suplantación de identidad. En ellos, se hacen pasar por empresas como Carrefour u otras instituciones intentando ganarse la confianza de la víctima haciéndole ver que conocen sus datos y situación personal. Una de sus técnicas más utilizadas es inducir una situación de urgencia, en la que el objetivo debe realizar algún tipo de acción con rapidez para evitar un problema o situación negativa.
En caso de sospecha de haber clicado en un enlace fraudulento o de haber introducido datos bancarios en páginas que podrían estar operadas por ciberestafadores, la recomendación de las fuerzas de seguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la Policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.
