Carrefour notificó CINCO violaciones de seguridad en cuatro meses, todas ellas relacionadas con el acceso ilegítimo a cuentas de clientes por parte de terceros no autorizados mediante el uso de credenciales filtradas (sin que existan evidencias de ataques de fuerza bruta).
La primera notificación a la AEPD se realizó el 13 de enero de 2023; la segunda, el 20 de enero de 2023; la tercera, el 24 de enero de 2023; la cuarta, el 18 de abril de 2023; y la quinta, el 21 de abril de 2023. Carrefour NO implementó la doble autenticación hasta el 30 de octubre de 2023. Ninguna de estas violaciones fue comunicada a los afectados.
La AEPD dictó resolución en el expediente sancionador, imponiendo a Carrefour tres sanciones:
- Multa de 2.000.000 € por infracción del artículo 5.1.f) del RGPD (quiebra de la integridad y confidencialidad de datos personales).
- Multa de 1.000.000 € por infracción del artículo 32 del RGPD (falta de medidas de seguridad).
- Multa de 200.000 euros por infracción del artículo 34) del RGPD (falta de comunicación a los afectados).
Conclusión
Que grandes compañías, con amplios recursos económicos y técnicos, no se tomen en serio la seguridad de los datos personales, sufriendo cinco ciberataques en un periodo de cuatro meses y tardando diez meses desde el primer incidente en implementar una medida de seguridad tan elemental como la doble verificación, resulta imperdonable. Si ellos no protegen nuestros datos personales, el riesgo y las consecuencias las sufrimos los clientes.
Pueden consultar el listado de ciberataques a Administraciones públicas y empresas en España haciendo clic aquí. La lista no deja de crecer, y esto se debe a que pocas organizaciones se toman realmente en serio la protección de datos.
No se pierda nuestro podcast sobre el artículo
