La Agencia Española de Protección de Datos (AEPD) ha sancionado a Carrefour por infracciones del RGPD tras sufrir cinco brechas de seguridad en 2023 que afectaron a casi 120.000 clientes. Las violaciones se produjeron en enero y abril de ese mismo año.
Los ciberdelincuentes accedieron a cuentas de clientes mediante nombres de usuario y contraseñas previamente filtradas. Esto permitió extraer datos como nombre, apellidos, correo electrónico, teléfono, DNI, dirección postal, fecha de nacimiento e incluso datos relacionados con programas de ahorro. Según Carrefour, solo en menos de 1.000 casos hubo acceso a información sensible, aunque la AEPD rechaza esta distinción, pues considera que cualquier acceso no autorizado supone un riesgo significativo.
Después del quinto ataque, Carrefour implementó la autenticación de doble factor (2FA), pero solo en octubre de 2023, tras las brechas. Además, sus sistemas permitían consultas masivas desde múltiples IP sin alertas, y no se comunicó de forma adecuada a todos los afectados.
La multa total comprende sanciones por por violar la integridad y confidencialidad de los datos, por carecer de medidas de seguridad adecuadas y por no comunicar correctamente las brechas, ascendiendo hasta los 3,2 millones de euros. Este caso se suma a sanciones recientes impuestas a Iberdrola o Mercadona de 6 y 2,5 millones de euros, respectivamente, resaltando la urgencia de implantar y mantener medidas de ciberseguridad proactivas en las grandes empresas.
Fuente: Xataka
Imagen Bordeaux, CC BY-SA 3.0, via Wikimedia Commons
