La Agencia Española de Protección de Datos ha sancionado a Carrefour con una multa de 3,2 millones de euros. El motivo de esta decisión radica en cinco ciberataques que afectaron a la seguridad de datos personales de miles de clientes.
La gravedad de la situación no solo está en el volumen de datos comprometidos, sino en la reiteración del mismo tipo de ataque sin que la compañía tomara medidas inmediatas para prevenir nuevos accesos ilegítimos.
Estos incidentes generan debate sobre la responsabilidad de las grandes empresas en la protección de la información de sus usuarios. En este caso, Carrefour reconoció la vulnerabilidad de sus sistemas y la demora en comunicar las brechas de seguridad a los afectados, lo que ha agravado las consecuencias legales.
Qué provocó la sanción de 3,2 millones de euros
La multa de 3,2 millones de euros a Carrefour se impuso tras la notificación de cinco violaciones de seguridad entre enero y abril de 2023. Todas las brechas compartían un mismo patrón: los atacantes accedieron a cuentas de clientes aprovechando credenciales de empleados que habían sido expuestas en anteriores filtraciones masivas de datos.
Esta técnica, conocida como credential stuffing, es una de las formas más comunes de comprometer sistemas cuando las contraseñas no han sido actualizadas o cuando no se implementan sistemas de doble autenticación. En el caso de Carrefour, esta medida no se activó hasta octubre de 2023, mucho después de que se materializaran los ataques.
Datos personales comprometidos en los ataques
Durante estos incidentes, los atacantes lograron acceder a información altamente sensible de los usuarios, como nombre completo, correo electrónico, teléfono, dirección, DNI o número de pasaporte. También se vieron expuestos datos sobre preferencias de consumo y comportamiento comercial de los clientes.
La multa de 3,2 millones de euros a Carrefour responde a la magnitud del fallo en la protección de esta información. La Agencia consideró que la compañía incumplió sus obligaciones al no garantizar un nivel adecuado de seguridad en el tratamiento de datos personales, vulnerando así el Reglamento General de Protección de Datos.
Cómo afectaron los ciberataques a los clientes de Carrefour
El número total de cuentas comprometidas ascendió a 118.895, según el informe de la AEPD. Carrefour matizó que sólo en 234 casos hubo un impacto directo en la integridad de los usuarios y en 973 se vulneró la confidencialidad de sus datos. Sin embargo, la autoridad reguladora no consideró suficientes estas cifras para restar gravedad al suceso.
Estos datos en manos equivocadas pueden ser utilizados para suplantar identidades, lanzar estafas personalizadas o acceder a otros servicios online. La reutilización de contraseñas por parte de los usuarios hace que una brecha de seguridad en un servicio pueda tener efectos en cadena.
Infracciones legales detectadas por la AEPD
Uno de los aspectos más destacados de la multa de 3,2 millones de euros a Carrefour es su composición. La Agencia impuso tres sanciones diferenciadas: dos millones de euros por vulnerar el principio de integridad y confidencialidad, un millón por no garantizar la seguridad del tratamiento de los datos, y 200.000 euros por una comunicación deficiente a los afectados.
La propia empresa reconoció no haber informado correctamente a los usuarios sobre las violaciones, algo que está regulado por el artículo 34 del RGPD. Esta omisión fue considerada una muestra de falta de diligencia y un agravante a la hora de establecer la cuantía de la sanción.
Comparativa con otras sanciones del sector
El caso de Carrefour no es el único ni el más grave en cuanto a sanciones por ciberseguridad. En 2023, Iberdrola fue multada con 6,5 millones de euros tras un ataque que expuso los datos de 850.000 usuarios. En 2021, Mercadona tuvo que pagar 2,5 millones por un proyecto de reconocimiento facial sin las garantías adecuadas.
Estas cifras demuestran que el incumplimiento de las obligaciones del RGPD puede tener un alto coste económico y reputacional para las compañías. Las autoridades están mostrando una tolerancia cada vez menor hacia las negligencias en la protección de la información personal.
Reacción de Carrefour y medidas posteriores tras los ciberataques
Tras los cinco incidentes, Carrefour decidió implementar nuevas medidas de seguridad. La más destacada fue la activación del doble factor de autenticación, aunque esta no llegó hasta octubre de 2023. La AEPD valoró negativamente la tardanza en adoptar esta medida, ya que su ausencia había permitido los accesos ilegítimos reiterados.
La compañía también se comprometió a reforzar sus sistemas de detección de accesos sospechosos y a mejorar los protocolos de comunicación con los usuarios ante futuras incidencias. Sin embargo, las consecuencias ya estaban en marcha y el daño a la confianza de sus clientes era evidente.
Cabe volver a recordar que cuando una empresa sufre un ataque de estas características, el impacto no termina con la multa. Los datos robados pueden seguir circulando en la red, siendo utilizados por ciberdelincuentes durante meses o incluso años. La amenaza de suplantación de identidad permanece activa mucho tiempo después del incidente inicial.
Por eso, resulta fundamental que las empresas inviertan de forma continuada en protección y monitorización de sus plataformas digitales. La responsabilidad de proteger los datos de los clientes es ineludible.
