Un ciberataque ha conseguido penetrar en los sistemas informáticos de Carrefour Servicios Financieros y sustraer información personal de sus clientes. Según ha comunicado la compañía a los afectados a través de una carta, la información robada incluye “datos personales básicos, de contacto, número de DNI entre otros datos“.
“En ningún caso están comprometidas tus posiciones o claves de acceso a Servicios Financieros Carrefour”, asegura la financiera en la misiva, que no especifica si los números de su tarjeta de crédito Pass o los productos financieros contratados con ella han caído en manos de los atacantes.
La carta de Carrefour llegó a los afectados durante las festividades navideñas. En ella tampoco informa de cuántos clientes se han visto afectados por la brecha de seguridad ni durante cuánto tiempo estuvo abierta. “Nos ponemos en contacto contigo para informarte de que hemos sufrido un acceso ilícito a nuestros sistemas. Desde el momento en que tuvimos conocimiento del incidente, pusimos en marcha las medidas necesarias para detenerlo de inmediato, evitar su repetición y resolver el incidente”, informa en el texto.
La financiera de Carrefour es una parte integral del grupo francés. En España es uno de los establecimientos financieros de crédito más activos, con más de 2.065 millones de euros en préstamos y pagos aplazados con sus clientes, según sus últimos registros presentados ante el Banco de España.
Su producto más conocido es la tarjeta Pass, que permite obtener descuentos en algunos productos y pagar a crédito con unos intereses del 20%. Además también ofrece préstamos personales de hasta 30.000 euros y otro tipo de financiaciones especiales para las compras en sus establecimientos.
Información clave
Información como la robada a la financiera de Carrefour se considera muy sensible para la ciberseguridad personal. Poseerla no habilita a un atacante para sustraer dinero directamente de la cuenta bancaria de la víctima o hacer compras en su nombre sin consentimiento, pero facilita enormemente las suplantaciones de identidad y las estafas. En este momento hay varias campañas de ataque de este tipo activas en España.
Una de ellas es la del falso agente, en la que un ciberdelincuente se hace pasar por un empleado de la entidad financiera de la víctima. Proporcionándole datos personales propios como su DNI o el número de su tarjeta, logra ganarse su confianza, para después informarle de que ha habido un problema en su cuenta y guiarle a una trampa.
Los duplicados de las tarjetas SIM del teléfono móvil solicitados por ciberdelincuentes son otro de los timos que se basan en este tipo de información personal y pueden terminar con desfalcos de miles de euros para las víctimas.
La propia financiera de Carrefour avisa en su comunicación a los clientes de estos riesgos. “Te recordamos la necesidad de estar atento en todo momento a las comunicaciones electrónicas, movimientos de cuentas bancarias y a cualquier actividad atípica que pueda guardar relación con tus datos personales”, dice la compañía.
“En especial, te recomendamos que desconfíes de llamadas, correos electrónicos o SMS donde el interlocutor o remitente no esté claramente identificado, te pidan información como tu número de cuenta, datos de tarjetas o claves de acceso y además tengas especial cautela con los enlaces incluidos en estos mensajes”, añade.
Este tipo de información acaba a su vez en comercios de la web oscura, donde se compra y vende a especialistas en explotarlo para seguir lanzando ataques sobre las víctimas. Un número de una tarjeta de crédito española, por ejemplo, se valora en unos 20 euros.
En caso de haber proporcionado datos bancarios u otra información relevante en canales que podrían estar operados por estafadores, la recomendación de las autoridades y especialistas en ciberseguridad es comunicar lo sucedido de inmediato al banco y denunciar los hechos a la policía. El Instituto Nacional de Ciberseguridad dispone del número gratuito 017 y del teléfono de WhatsApp 900 116 117 para resolver dudas de seguridad. Atiende a ciudadanos, empresas y profesionales y es confidencial.