En la madrugada de este domingo, El Corte Inglés (ECI) ha reconocido un ciberataque a sus bases de datos y ha aplicado los protocolos de seguridad, por lo que, según la propia empresa, la amenaza ha sido neutralizada. La cadena de grandes almacenes es el último en sumarse a la larga lista de empresas que han sufrido el hackeo a sus sistemas. Desde la Organización de Consumidores y Usuarios (OCU) señalan en un comunicado que “el problema es que esos ataques de los piratas informáticos dejan expuestos los datos de contacto, personales y bancarios de miles de usuarios, las principales víctimas de la filtración”.

La OCU recuerda que, según ha informado la empresa a los clientes con tarjeta de El Corte Inglés, “un proveedor externo” ha sufrido un acceso no autorizado a las bases de datos de clientes. El problema se detectó rápidamente y según indica ya ha sido subsanado... “Pero la filtración ya se ha producido”, advierten desde la organización de consumidores.

El Corte Inglés ha informado a las autoridades y a los afectados, como es preceptivo, pero han reconocido que los ciberdelincuentes han accedido a:

  • Datos identificativos y de contacto de los clientes.
  • El número de tarjetas de compras de El Corte Inglés.

Pasos dados por ECI

  • Primero, que los servicios al cliente de los grandes almacenes han hecho un llamamiento a la calma,
  • segundo, garantizan que las operaciones que se realicen son totalmente seguras y
  • tercero, que El Corte Inglés recuerda que nunca se va a contactar a los clientes, por ningún medio electrónico ni telefónico, para solicitar contraseñas, códigos de seguridad, etc.

Riesgos de una filtración

El Corte Inglés viene a sumarse a muchas otras empresas y organismos que a lo largo de los últimos meses han sufrido hackeos: Ticketmaster, Banco Santander, Dirección General de Tráfico (DGT), Iberdrola, Telefónica, la CNMC, el Consorcio de Transportes de Madrid, Decathlon... O fuera de España, Deepseek, la china de Inteligencia Artificial.

OCU recuerda que da igual el sector, y también el alcance, porque el resultado es siempre el mismo: quedan comprometidos infinidad de datos de miles de clientes, que pueden sufrir las consecuencias:

  • Una suplantación de identidad. Con los datos personales obtenidos, los delincuentes pueden abrir cuentas bancarias a nombre del afectado, solicitar préstamos o, incluso, realizar transacciones fraudulentas.
  • Pueden ser víctimas de ciberestafas: si han conseguido números de teléfono o direcciones de correo electrónico, se pueden usar para enviar phishing, en cualquiera de sus modalidades, y conseguir nueva información, como contraseñas o datos bancarios.
  • Ser víctimas directas de fraudes, pues los datos se venden en mercados ilegales, que pueden ser usados para campañas de spam y otros ataques cibernéticos.

Medidas contra un 'hackeo'

La empresa es responsable de tus datos

Cuando cedes tus datos a una empresa, no esperas que tu nombre, tu teléfono, tu e-mail, el número de tarjeta o unas claves acaben circulando en redes obscuras. Ante una filtración, cualquier empresa debe:

  • Avisar a la Agencia Española de Protección de Datos (AEPD) en menos de 72 horas desde el problema de seguridad.
  • Comunicar el problema de seguridad a los posibles afectados, cuanto antes y de manera directa.

El Corte Inglés ha cumplido con estas obligaciones mediante el correo electrónico enviado a los clientes. No obstante, las empresas que sufren una brecha de seguridad en datos se exponen a una sanción de la AEPD, si se detecta negligencia en la custodia de los datos de sus clientes. Pero, en opinión de OCU; “esas multas apenas molestan a estos gigantes empresariales, que no toman medidas para garantizar la seguridad de los datos que custodian”.

El cliente debe extremar las precauciones

OCU recuerda que una brecha de seguridad en una empresa de la que seas cliente te hace más vulnerable. Por este motivo, es recomendable extremar las precauciones con medidas como:

  • Desde El Corte Inglés ya han informado de que no se van a poner en contacto pidiendo contraseñas o datos. Si te llaman o envían un mensaje en nombre de EL Corte Inglés, ¡ojo! No son ellos, como han advertido desde la empresa.
  • Ante cualquier llamada, correo o SMS inesperado o sospechoso, desconfía y ponte en contacto con el remitente para confirmar que ese mensaje viene efectivamente de la empresa.
  • Al menos durante un tiempo, practica el egosurfing. Es una práctica para conocer  qué información sobre nosotros circula en Internet Consiste en utilizar las redes sociales y los buscadores de Internet, como Google, utilizando términos de búsqueda relativos a nosotros, como nuestro nombre, apellidos, DNI, etc., para localizar información sobre nosotros en páginas webs y otras plataformas. Desde Incibe (Instituto Nacional de Ciberseguridad) recomienda hacer egosurfing periódicamente, para saber qué se dice de nosotros, cómo se dice, quién lo dice y con qué objetivo, e identificar posible información que no debería estar publicada y que queramos que sea eliminada.
  • Vigila bien tus extractos de tarjeta: cualquier posible cargo que tras este ataque hagan en tu cuenta y no haya sido autorizado, debes comunicarlo a El Corte Inglés que deberá reembolsarlo.