Cinco ciberataques idénticos no bastaron para que Carrefour reaccionara, así que la han multado con 3,2 millones de euros
Publicado el 05/06/2025 por Diario Tecnología Artículo original
La Agencia Española de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por presuntas infracciones de varios artículos del RGPD. Lo sorprendente no es eso, sino el hecho de que esas infracciones se debieron no a un solo ciberataque, sino a cinco... exactamente iguales.
Brechas de seguridad. Carrefour notificó a la AEPD hasta cinco violaciones de seguridad de datos personales, todas relacionadas con el acceso ilegítimo a cuentas de clientes. Las brechas se produjeron el 13 de enero, 20 de enero, 24 de enero, 18 de abril y 21 de abril de 2023. Todas con la misma técnica.
Credential Stuffing. Todo apunta a que esas brechas de seguridad se produjeron al aprovechar los criminales credenciales (nombre, contraseña) de empleados legítimos de Carrefour que se acabaron filtrando y lograron ser obtenidas por los atacantes, probablemente a través de anteriores robos de datos masivos.
Datos robados. Entre los datos afectados estaban nombre, apellidos, correo electrónico, número de teléfono, DNI, dirección física o número de pasaporte de los clientes, además de información relacionada con sus intereses, tendencias de compra y preferencias comerciales.
Miles de afectados. El número de afectados según la AEPD fue de 118.895 cuentas únicas de las que el atacante pudo obtener información personal. Según Carrefour la afectación real fue mucho menor: la que impactó en la integridad de las personas fue de tan solo 234 casos y a la confidencialidad de sus datos 973 casos.
Varias infracciones graves. Carrefour reconoció su responsabilidad por la presunta infracción del artículo 34 del RGPD (comunicación de las brechas a las personas afectadas) pero inicialmente no la consideró "preceptiva". Además la AEPD concluyó que Carrefour vulneró el principio de integridad y confidencialidad (artículo 5.1.f del RFPD) al permitir el acceso ilegítimo a terceros de datos personales.
Y falta de diligencia. Según los responsables de AEPD, Carrefour no tenía implantadas las medidas técnicas necesarias para garantizar un nivel de seguridad adecuado al riesgo, pero además la acusó de falta de diligencia. En Carrefour acabaron implementando la opción de doble autenticación, pero solo desde octubre de 2023, cuando ya se habían aprovechado cinco brechas de seguridad.
La multa, desglosada. La multa total es de 3,2 millones de euros, pero en realidad está compuesta por tres conceptos:
- Vulneración del principio de integridad y confidencialidad (muy grave): dos millones de euros
- Infracción de la seguridad del tratamiento de datos (grave): un millón de euros
- Infracción por la comunicación a los interesados (leve): 200.000 euros.
No proteger los datos de los clientes sale caro. Iberdrola recibió una multa aún mayor de 6,5 millones de euros el año pasado tras haber sido víctima de un ciberataque que dejó expuestos los datos de 850.000 clientes. Antes, en julio de 2021, la AEPD multó con 2,5 millones de euros a Mercadona por una violación de la privacidad de los usuarios: en este caso, por un proyecto piloto de reconocimiento facial que llevaron a cabo meses antes y que sentó un precedente para este tipo de sistemas.
Con esos datos, una amenaza: suplantaciones de identidad. Siempre que los datos de los clientes son robados, hay una amenaza clara: la de que sean usados para suplantar la identidad de esos clientes. Con esos datos es posible configurar estafas personalizadas y dirigidas, mucho más creíbles y peligrosas para las víctimas. El otro riesgo inmediato es que los ciberdelincuentes usen esas credenciales para tratar de robarnos cuentas en todo tipo de servicios, de ahí la importancia de no usar la misma contraseña en distintas plataformas.
Imagen | Xataka
En Xataka | Visitamos el Centro Criptológico Nacional del CNI: aquí está el epicentro de la ciberseguridad española
utm_campaign=05_Jun_2025"> Javier Pastor .