La exposición de nuestros datos personales en Internet puede deberse a diversas razones. Por un lado, somos nosotros, como usuarios, quienes, al registrarnos en plataformas inseguras o compartir información excesiva en redes sociales, contribuimos a esta situación. Por otro lado, existen filtraciones que pueden ocurrir en distintas páginas y plataformas. Este último caso se ha presentado recientemente con Gucci, Balenciaga y Alexander McQueen.
Este incidente ha afectado a millones de personas. Según un portavoz de Kering, reportado por la BBC en un artículo del 15 de septiembre, un grupo de cibercriminales ha conseguido robar datos personales de la empresa de moda de lujo, que ha confirmado el suceso sin ofrecer demasiados detalles. Los responsables son ShinyHunters (catalogados como UNC6040 por Microsoft), quienes han llevado a cabo ataques a Salesforce, de Google, así como incursiones previas al Banco Santander y Ticketmaster. Se especializan en la exfiltración masiva de datos aprovechando vulnerabilidades en entornos de nube y aplicaciones web.
Filtración de datos de clientes de marcas de lujo
Según la información proporcionada por Kering y reportada por la BBC, los atacantes lograron acceso no autorizado temporal mediante credenciales internas comprometidas, probablemente a través de una campaña de Phishing enfocada en portales de SSO de Salesforce.
Los datos robados son los típicos que se obtienen en este tipo de filtraciones:
- Correo electrónico del cliente.
- Nombre completo.
- Número de teléfono.
- Dirección de envío de los pedidos.
- Total de ventas (gasto total de ese cliente).
No se han filtrado contraseñas ni datos relacionados con tarjetas bancarias y otros métodos de pago. Según Kering, el gasto de los clientes afectados oscila entre los 10.000 y los 86.000 dólares.
El artículo 33 del Reglamento (UE) 2016/679 del Parlamento Europeo, sobre la protección de las personas en lo que respecta al tratamiento de datos personales, exige a las empresas notificar cualquier violación de datos. Esto es lo que ha hecho la compañía, contactando a los clientes afectados por correo electrónico. La brecha de seguridad ocurrió en abril, fue detectada en junio y ahora se ha hecho pública. En total, se han visto comprometidas alrededor de 7,4 millones de direcciones de correo electrónico.
Como es habitual en estos ataques, ShinyHunters ha solicitado un rescate económico a la empresa a través de Telegram para no filtrar la información robada. Han pedido un pago en Bitcoins de 0,00045 BTC, según reporta DataBreaches. Sin embargo, la empresa ha negado haber realizado cualquier pago y asegura que ha seguido las recomendaciones de las fuerzas de seguridad, que aconsejan no pagar estos rescates.
Pasos a seguir
Si eres un usuario afectado por esta situación, ya sea por haber comprado en Gucci, Balenciaga o cualquier otra plataforma que haya sufrido una filtración de datos, es crucial actuar adecuadamente. Cuando solo se han expuesto datos como el correo electrónico o el número de teléfono, podrías recibir intentos de suplantación de identidad por parte de los atacantes.
Podrías recibir un correo electrónico o un SMS relacionado con un supuesto pedido que has realizado, por ejemplo. También podrían alertarte sobre una filtración y advertirte de que tu cuenta está en riesgo, invitándote a seguir un enlace para cambiar la contraseña, lo cual sería una estafa, ya que es un ataque de Phishing.
Es vital que actúes con precaución y te bases siempre en información oficial. Ante un problema de este tipo, se recomienda cambiar las contraseñas y verificar si algún método de pago ha sido expuesto. Hazlo siempre a través de la página oficial y evita acceder a través de enlaces de terceros.
Datos robados y su impacto
| Categoría de Dato | Información Específica Filtrada | Riesgo Asociado para el Cliente |
|---|---|---|
| Identificación Personal | Nombre completo, email, número de teléfono | Ataques de phishing y smishing altamente personalizados, suplantación de identidad. |
| Información Transaccional | Dirección de envío, historial de compras y gasto total (entre 10.000 y 86.000 USD) | Ingeniería social para fraudes, extorsión, perfilado para futuros ataques. |
| Datos Excluidos | Contraseñas, datos bancarios, tarjetas de crédito | Kering confirma que no fueron comprometidos, reduciendo el riesgo de fraude financiero directo. |
El INCIBE, Instituto Nacional de Ciberseguridad de España, ofrece una guía sobre cómo actuar ante una brecha de seguridad. Protegerse contra el Phishing y la ingeniería social es fundamental. Aquí algunos consejos adicionales:
- Desconfiar de comunicaciones inesperadas: Los atacantes usarán los datos filtrados (correo, teléfono, nombre) para lanzar campañas de phishing personalizadas. Evita hacer clic en enlaces ni descargar archivos de correos o SMS que se hagan pasar por Gucci o Balenciaga.
- Verificar siempre la fuente: Si necesitas realizar alguna gestión, como cambiar tu contraseña, accede siempre escribiendo la dirección oficial del sitio web en tu navegador. Nunca a través de enlaces recibidos.
- Monitorizar actividad sospechosa: Aunque no se filtraron datos de pago, mantente atento a cualquier comunicación inusual que pueda ser el primer paso hacia un fraude más elaborado.
A la espera de un comunicado oficial por parte del Grupo Kering que ofrezca más detalles, la información proporcionada por la BBC, una fuente de gran prestigio mundial, evidencia un impacto significativo con millones de datos de clientes comprometidos.
Preguntas frecuentes
¿Qué debo hacer si han hackeado una tienda donde he comprado?
Es fundamental que cambies tus contraseñas y revises los métodos de pago que has utilizado para evitar problemas.
¿Se han robado contraseñas o datos de pago?
Según la información de Kering, no se han robado contraseñas ni información bancaria de los clientes.
¿Qué podrían hacer con esos datos robados?
Podrían utilizarlos para crear ataques personalizados y robar más datos de esos clientes, hacerse con el control de cuentas bancarias o suplantar la identidad.
