La normativa española establece que las empresas tienen la responsabilidad legal de proteger los datos privados de sus clientes. Carrefour, una de las mayores cadenas de distribución en Europa, posiblemente haya aprendido esta lección, pero no le va a salir barato: la Agencia Española de Protección de Datos (AEPD) la ha sancionado con 3,2 millones de euros por haber sufrido múltiples brechas de seguridad que afectaron a casi 119.000 personas.

Pero lo más relevante de este caso no es la cuantía económica, sino el patrón de negligencia que revelan los hechos sancionados por la AEPD.

La cronología de los ciberataques

A lo largo del primer semestre de 2023, Carrefour fue víctima de al menos cinco ciberataques casi idénticos. Estas filtraciones de datos se produjeron los días 13, 20 y 24 de enero, y 18 y 21 de abril, y en todos los casos se usó la misma técnica: el conocido como credential stuffing.

Se trata de una modalidad de ataque que no requiere grandes habilidades técnicas porque los ciberdelincuentes se limitan a usar combinaciones de correos electrónicos y contraseñas filtradas en anteriores brechas para probar suerte en otras plataformas. El éxito del ataque se basa en un hábito común entre los usuarios: reutilizar las mismas credenciales en múltiples servicios online.

Los datos expuestos

De este modo, los atacantes consiguieron acceso no autorizado a cuentas de clientes, exponiendo una variedad de datos personales como:

Nombre y apellidos.
Correo electrónico.
Teléfono.
Dirección postal.
DNI o NIE.
Fecha de nacimiento.
En algunos …