La agencia de datos español (AEPD) ha impuesto Una multa de 3.2 millones de euros A Carrrefour por presuntas violaciones de varios artículos de RGPD. Lo sorprendente no es eso, sino el hecho de que estas violaciones no fueron un solo ataque cibernético, sino cinco … exactamente lo mismo.
Brechas de seguridad. Carrefour notificó a la AEPD hasta cinco violaciones de la seguridad de los datos personales, todo relacionado con el acceso ilegal a las cuentas de los clientes. Los huecos ocurrieron el 13 de enero, 20 de enero, 24 de enero, 18 de abril y 21 de abril de 2023. Todos con la misma tecnología.
Información de registro. Todo indica que estas brechas de seguridad han ocurrido mediante el uso de información de inicio de sesión (nombre, contraseña) de empleados legítimos de Carrrefour que finalmente filtraron y recibieron los atacantes, probablemente a través de ataques de datos masivos anteriores.
Datos robados. Los datos en cuestión incluyen el nombre, el apellido, el correo electrónico, el número de teléfono, la identificación, la dirección física o el número de aprobación del cliente, así como la información sobre sus intereses, tendencias de compra y preferencias comerciales.
Miles de los afectados. El número de los afectados de acuerdo con la AEPD fue de 118,895 cuentas claras de que el atacante pudo recibir información personal. Según Carrefour, el efecto real fue mucho menor: el que afectó la integridad de las personas fue solo 234 casos y la confidencialidad de sus datos fue de 973 casos.
Varias violaciones graves. Carrefour reconoció su responsabilidad por la supuesta violación del artículo 34 del GDPR (comunicación de las brechas hacia las personas en cuestión), pero inicialmente no lo consideró «obligatorio». Además, la AEPD llegó a la conclusión de que Carrefour violó el principio de integridad y confidencialidad (artículo 5.1.f de la RFPD) al permitir el acceso ilegítimo a terceros.
Y falta de diligencia. Según la AEPD, Carrefour no había implantado las medidas técnicas que son necesarias para garantizar un nivel de seguridad que sea razonable para el riesgo, sino que también lo acusó debido a la falta de diligencia. En Carrefour implementaron la opción de doble autenticación, pero solo desde octubre de 2023, cuando ya se usaron cinco brechas de seguridad.
La multa, rota. El cuidado total es de 3,2 millones de euros, pero en realidad consta de tres conceptos:
- Violación del principio de integridad y confidencialidad (muy grave): dos millones de euros
- Violaciones del procesamiento de datos (en serio): un millón de euros
- Violación de la comunicación con las partes interesadas (leve): 200,000 euros.
No proteja los datos del cliente son caros. Iberdrola recibió más de 6.5 millones de euros el año pasado después de ser víctima de un ataque cibernético Los datos de 850,000 clientes revelaron. Antes de julio de 2021, la AEPD recibió una multa de 2.5 millones de euros a Mercadona por violación de la privacidad de los usuarios: en este caso para un proyecto piloto de reconocimiento facial que se llevó a cabo meses antes y que puso un precedente para este tipo de sistemas.
Con estos datos una amenaza: piezas de diferencia de identidad. Cada vez que se roban los datos del cliente, hay una clara amenaza: se utilizan para reemplazar la identidad de estos clientes. Con estos datos, es posible configurar fraude personalizado y dirigido, mucho más creíble y peligroso para las víctimas. El otro riesgo directo es que los cibercuidos usan esta información de inicio de sesión para tratar de robar cuentas en todos los tipos de servicios.
Imagen |
En | Visitamos el Centro Nacional de Cryptología CNI: aquí está el epicentro de la seguridad cibernética española.
