Total, Banco Santander, Telefónica, Iberdrola, Decathlon, Ticketmaster, Repsol, Mutua Madrileña, Grupo Tendam… y ahora un proveedor de El Corte Inglés. En los últimos meses muchas grandes compañías han sido víctimas de ciberataques que han comprometido los datos personales de miles de clientes.
Y es que las filtraciones masivas de información suelen anticipar todo tipo de estafas basadas en la suplantación de la identidad de estas mismas empresas (mediante phishing, smishing, spoofing…) para conseguir los datos bancarios del cliente y sus credenciales de seguridad para realizar así cargos a su costa, advierte la Organización de Consumidores y Usuarios (OCU).
El Corte Inglés ha comunicado personalmente por correo electrónico a sus clientes el ciberataque, admitiendo la filtración de datos identificativos y de su tarjeta de pago, aunque aclara que dicha información no permite a terceros operar ni realizar pagos con la tarjeta. Además, recuerda que no contactará con sus clientes para solicitar contraseñas, códigos de seguridad ni información de carácter personal.
«El incidente se identificó y se subsanó inmediatamente a través de nuestros protocolos de detección y seguridad. A su vez, requerimos a dicho proveedor la aplicación de medidas adicionales que prevengan este tipo de incidentes a futuro», señalan desde la compañía.
“La información a la que se ha accedido de forma no autorizada consiste en datos identificativos y de contacto, así como números de tarjetas para compras solo en El Corte Inglés”, continúa la comunicación, en la que el grupo de distribución aclara que esa información no permite a terceros “operar ni realizar pagos con su tarjeta de El Corte Inglés”. A cierre del ejercicio 2023-2024, casi 12 millones de usuarios contaban con la tarjeta de compra de la compañía.
“Puede usted seguir utilizando su tarjeta con total seguridad, tanto en nuestras tiendas como a través de nuestra web y app, así como en otros comercios”, añade la compañía, que aclara que nunca contacta con sus clientes “por ningún medio ni electrónico ni telefónico, para solicitarle contraseñas, códigos de seguridad o información de carácter personal”.
El Corte Inglés insiste en recomendar a sus clientes desconfiar de comunicaciones que soliciten contraseñas, códigos de seguridad o datos personales, pues ellos nunca solicitarán esos datos vía telefónica, email o SMS. Por otro lado, recuerdan a sus clientes que su equipo de atención solo opera a través del teléfono 900 334 334 y del correo delegado.protecciondatos@elcorteingles.es
Atentos a posibles contactos
En este mismo sentido, OCU recomienda a los afectados estar atentos a posibles contactos de los ciberdelincuentes para conseguir sus credenciales de seguridad al objeto de autorizar pagos fraudulentos.
OCU además solicita a El Corte Inglés que informe de la fecha del ciberataque a su proveedor, por si se hubieran producido ya intentos de phishing a sus clientes. La normativa de protección de datos obliga a comunicar las brechas de datos sin dilación indebida. Posponer esta obligación supone facilitar cualquier posible estafa.
En definitiva, OCU recuerda la correcta aplicación de la actual normativa de protección de datos sobre la comunicación de las filtraciones a los clientes, que deberá ser rápida y directa. Además, considera que deberían contemplarse sanciones adicionales a las empresas hackeadas si demostraran negligencia en la protección de los datos de sus clientes. Y, en todo caso, debería reconocerse una indemnización a los afectados proporcional al riesgo derivado de la apropiación ilegal de sus datos personales.
No obstante, OCU recuerda que ningún pago que realice un usuario bajo los efectos de un engaño podrá ser considerado como autorizado y por lo tanto deberá ser reembolsado de forma automática por la entidad bancaria.
