La Agencia Española de Protección de Datos (AEPD) ha impuesto una multa de 120.000 euros a la cadena de tiendas deportivas Décimas tras sufrir una importante brecha de seguridad que dejó expuestos los datos personales de más de 330.000 clientes.
La agencia considera que la firma incumplió el principal de «integridad y confidencialidad» recogido en el Reglamento General de Protección de Datos (RGPD), es decir, mantener los datos seguros frente a accesos no autorizados.
El incidente se produjo en abril de 2024, aunque la resolución sancionadora se ha conocido ahora. Según recoge el expediente, los ciberdelincuentes aprovecharon un fallo en la web de la compañía para acceder a la base de datos y robar información sensible de usuarios.
Entre los detalles filtrados había nombres y apellidos, correos electrónicos, fechas de nacimiento, género e incluso números de DNI. La AEPD considera especialmente grave la exposición de este documento porque puede facilitar fraudes o suplantaciones de identidad.
La investigación apunta a que los atacantes llegaron a poner la información a la venta en internet durante varias horas antes de que la empresa reaccionara.
De hecho, uno de los aspectos que más peso habría tenido en la sanción es que Décimas no descubrió el ataque por sus propios medios. Fue el Instituto Nacional de Ciberseguridad (INCIBE) quien avisó a la compañía de que los datos ya circulaban por la red.
Un fallo ‘evitable’
La brecha se produjo mediante a través de un ataque de ‘inyección de SQL’, un método clásico que consiste en aprovechar errores en formularios o apartados de una web para colarse en la base de datos. En su escrito, la AEPD deja claro que se trata de un tipo de fallo muy conocido desde hace años y que existen medidas básicas para evitarlo.
Según el expediente, el problema pudo solucionarse en pocas horas una vez detectado, algo que para la Agencia demuestra que la vulnerabilidad llevaba tiempo sin corregirse.
Además, el organismo de protección de datos considera que Décimas no tenía sistemas adecuados para detectar movimientos sospechosos en su infraestructura. Así, los atacantes pudieron actuar durante horas sin que nadie se diera cuenta.
La sanción inicial ascendía a 200.000 euros, pero la cifra final quedó reducida a 120.000 euros porque la empresa reconoció los hechos y pagó de forma anticipada, algo que permite la ley administrativa española.
Más allá de la multa, la AEPD ha obligado a la cadena de tiendas de ropa deportiva a demostrar que ha reforzado sus medidas de seguridad para evitar nuevos incidentes en un plazo de seis meses.
Fuente: escudodigital.com