{"id":71214,"date":"2025-06-06T12:25:59","date_gmt":"2025-06-06T12:25:59","guid":{"rendered":"https:\/\/enfoquenoticioso.com\/?p=71214"},"modified":"2025-06-06T12:25:59","modified_gmt":"2025-06-06T12:25:59","slug":"carrefour-recibio-cinco-ciberataques-identicos-y-no-hizo-nada-ahora-tiene-una-multa-de-32-millones-de-euros","status":"publish","type":"post","link":"https:\/\/enfoquenoticioso.com\/?p=71214","title":{"rendered":"Carrefour recibi\u00f3 cinco ciberataques id\u00e9nticos y no hizo nada. Ahora tiene una multa de 3,2 millones de euros"},"content":{"rendered":"<div>\n<p>La Agencia Espa\u00f1ola de Datos (AEPD) ha impuesto <a rel=\"noopener, noreferrer\" href=\"https:\/\/www.aepd.es\/documento\/ps-00128-2024.pdf\" target=\"_blank\">una multa de 3,2 millones de euros<\/a> a Carrefour por presuntas infracciones de varios art\u00edculos del <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/legislacion-y-derechos\/gdpr-rgpd-que-es-y-como-va-a-cambiar-internet-la-nueva-ley-de-proteccion-de-datos\" data-vars-post-title=\"GDPR\/RGPD: qu\u00e9 es y c\u00f3mo va a cambiar internet la nueva ley de protecci\u00f3n de datos \" data-vars-post-url=\"https:\/\/www.xataka.com\/legislacion-y-derechos\/gdpr-rgpd-que-es-y-como-va-a-cambiar-internet-la-nueva-ley-de-proteccion-de-datos\" target=\"_blank\" rel=\"noopener\">RGPD<\/a>. Lo sorprendente no es eso, sino el hecho de que esas infracciones se debieron no a un solo ciberataque, sino a cinco&#8230; exactamente iguales.<\/p>\n<p><!-- BREAK 1 --> <\/p>\n<p><strong>Brechas de seguridad<\/strong>. Carrefour notific\u00f3 a <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/legislacion-y-derechos\/universidades-espanolas-controlaban-examenes-online-reconocimiento-facial-aepd-ha-decidido-que-basta\" data-vars-post-title=\"Las universidades vieron en el reconocimiento facial la soluci\u00f3n perfecta anti-copiones. La AEPD les ha parado los pies\" data-vars-post-url=\"https:\/\/www.xataka.com\/legislacion-y-derechos\/universidades-espanolas-controlaban-examenes-online-reconocimiento-facial-aepd-ha-decidido-que-basta\" target=\"_blank\" rel=\"noopener\">la AEPD<\/a> hasta cinco violaciones de seguridad de datos personales, todas relacionadas con el acceso ileg\u00edtimo a cuentas de clientes. Las brechas se produjeron el 13 de enero, 20 de enero, 24 de enero, 18 de abril y 21 de abril de 2023. Todas con la misma t\u00e9cnica.<\/p>\n<p><!-- BREAK 2 --><\/p>\n<p><em><strong>Credential Stuffing<\/strong><\/em>. Todo apunta a que esas brechas de seguridad se produjeron al aprovechar los criminales credenciales (nombre, contrase\u00f1a) de empleados leg\u00edtimos de Carrefour que se acabaron filtrando y lograron ser obtenidas por los atacantes, probablemente a trav\u00e9s de <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/hacker-publica-100-millones-contrasenas-robadas-asi-puedes-saber-tus-credenciales-se-han-filtrado-internet\" data-vars-post-title=\"Un hacker publica 100 millones de contrase\u00f1as robadas: as\u00ed puedes saber si tus credenciales se han filtrado en Internet\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/hacker-publica-100-millones-contrasenas-robadas-asi-puedes-saber-tus-credenciales-se-han-filtrado-internet\" target=\"_blank\" rel=\"noopener\">anteriores robos de datos masivos<\/a>.<\/p>\n<p><!-- BREAK 3 --> <\/p>\n<div class=\"article-asset article-asset-normal article-asset-center\">\n<div class=\"desvio-container\">\n<div class=\"desvio\">\n<div class=\"desvio-figure js-desvio-figure\">\n    <a href=\"https:\/\/www.xataka.com\/seguridad\/espana-vuelve-al-podio-dato-que-enciende-alarmas-segundo-pais-atacado-mundo-cibercriminales\" class=\"pivot-outboundlink\" data-vars-post-title=\"Espa\u00f1a vuelve al podio con un dato que enciende alarmas: ya es el segundo pa\u00eds m\u00e1s atacado del mundo por cibercriminales\" target=\"_blank\" rel=\"noopener\"><br \/>\n     <img loading=\"lazy\" decoding=\"async\" alt=\"Espa\u00f1a vuelve al podio con un dato que enciende alarmas: ya es el segundo pa\u00eds m\u00e1s atacado del mundo por cibercriminales\" width=\"375\" height=\"142\" src=\"https:\/\/i.blogs.es\/8523f8\/espana-ciberataques-portada\/375_142.jpeg\"\/><br \/>\n    <\/a>\n   <\/div>\n<\/p><\/div>\n<\/p><\/div>\n<\/div>\n<p><strong>Datos robados<\/strong>. Entre los <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/robo-masivo-datos-facebook-datos-personales-533-millones-usuarios-se-filtran-online\" data-vars-post-title=\"Robo masivo de datos en Facebook: los datos personales de 533 millones de usuarios se filtran online\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/robo-masivo-datos-facebook-datos-personales-533-millones-usuarios-se-filtran-online\" target=\"_blank\" rel=\"noopener\">datos afectados<\/a> estaban nombre, apellidos, correo electr\u00f3nico, n\u00famero de tel\u00e9fono, DNI, direcci\u00f3n f\u00edsica o n\u00famero de pasaporte de los clientes, adem\u00e1s de informaci\u00f3n relacionada con sus intereses, tendencias de compra y preferencias comerciales.<\/p>\n<p><!-- BREAK 4 --><\/p>\n<p><strong>Miles de afectados<\/strong>. El n\u00famero de afectados seg\u00fan la AEPD fue de 118.895 cuentas \u00fanicas de las que el atacante pudo obtener informaci\u00f3n personal. Seg\u00fan Carrefour la afectaci\u00f3n real fue mucho menor: la que impact\u00f3 en la <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/pro\/soy-responsable-seguridad-informatica-mi-empresa-tengo-que-lidiar-que-trabajadores-trabajen-cualquier-parte\" data-vars-post-title=\"Soy responsable de seguridad inform\u00e1tica en mi empresa y tengo que lidiar con que los trabajadores trabajen desde cualquier parte\" data-vars-post-url=\"https:\/\/www.xataka.com\/pro\/soy-responsable-seguridad-informatica-mi-empresa-tengo-que-lidiar-que-trabajadores-trabajen-cualquier-parte\" target=\"_blank\" rel=\"noopener\">integridad de las personas<\/a> fue de tan solo 234 casos y a la confidencialidad de sus datos 973 casos.<\/p>\n<p><!-- BREAK 5 --><\/p>\n<p><strong>Varias infracciones graves<\/strong>. Carrefour reconoci\u00f3 su responsabilidad por la presunta infracci\u00f3n del art\u00edculo 34 del RGPD (comunicaci\u00f3n de las brechas a las personas afectadas) pero inicialmente no la consider\u00f3 \u00abpreceptiva\u00bb. Adem\u00e1s la AEPD concluy\u00f3 que Carrefour vulner\u00f3 el principio de integridad y confidencialidad (art\u00edculo 5.1.f del RFPD) al permitir el acceso ileg\u00edtimo a terceros de datos personales.<\/p>\n<p><!-- BREAK 6 --> <\/p>\n<p><strong>Y falta de diligencia<\/strong>. Seg\u00fan los responsables de AEPD, Carrefour no ten\u00eda implantadas las medidas t\u00e9cnicas necesarias para garantizar un nivel de seguridad adecuado al riesgo, pero adem\u00e1s la acus\u00f3 de falta de diligencia. En Carrefour acabaron implementando la <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/basics\/verificacion-dos-pasos-2fa-que-sirve-que-metodos-existen\" data-vars-post-title=\"Verificaci\u00f3n en dos pasos o 2FA: qu\u00e9 es, para qu\u00e9 sirve y qu\u00e9 m\u00e9todos existen\" data-vars-post-url=\"https:\/\/www.xataka.com\/basics\/verificacion-dos-pasos-2fa-que-sirve-que-metodos-existen\" target=\"_blank\" rel=\"noopener\">opci\u00f3n de doble autenticaci\u00f3n<\/a>, pero solo desde octubre de 2023, cuando ya se hab\u00edan aprovechado cinco brechas de seguridad.<\/p>\n<p><!-- BREAK 7 --><\/p>\n<p><strong>La multa, desglosada<\/strong>. \u00a0La multa total es de 3,2 millones de euros, pero en realidad est\u00e1 compuesta por tres conceptos:<\/p>\n<ol>\n<li>Vulneraci\u00f3n del principio de integridad y confidencialidad (muy grave): dos millones de euros<\/li>\n<li>Infracci\u00f3n de la seguridad del tratamiento de datos (grave): un mill\u00f3n de euros<\/li>\n<li>Infracci\u00f3n por la comunicaci\u00f3n a los interesados (leve): 200.000 euros.<\/li>\n<\/ol>\n<p><strong>No proteger los datos de los clientes sale caro<\/strong>. Iberdrola recibi\u00f3 una multa a\u00fan mayor de 6,5 millones de euros el a\u00f1o pasado tras haber sido v\u00edctima de un ciberataque que <a class=\"text-outboundlink\" href=\"https:\/\/www.genbeta.com\/actualidad\/ciberataque-a-iberdrola-filtra-datos-850-000-clientes-espana-estan-a-venta-web-oscura\" data-vars-post-title=\"Un ciberataque a Iberdrola filtra los datos de 850.000 clientes en Espa\u00f1a: ya est\u00e1n a la venta en la &#039;web oscura&#039; \" data-vars-post-url=\"https:\/\/www.genbeta.com\/actualidad\/ciberataque-a-iberdrola-filtra-datos-850-000-clientes-espana-estan-a-venta-web-oscura\" target=\"_blank\" rel=\"noopener\">dej\u00f3 expuestos los datos de 850.000 clientes<\/a>. Antes, en julio de 2021, la AEPD <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/privacidad\/reconocimiento-facial-mercadona-acaba-multa-2-5-millones-euros-que-dice-agencia-proteccion-datos-que-lecciones-se-pueden-extraer\" data-vars-post-title=\"El reconocimiento facial de Mercadona acaba en multa de 2,5 millones de euros: qu\u00e9 dice la Agencia de Protecci\u00f3n de Datos y qu\u00e9 lecciones se pueden extraer\" data-vars-post-url=\"https:\/\/www.xataka.com\/privacidad\/reconocimiento-facial-mercadona-acaba-multa-2-5-millones-euros-que-dice-agencia-proteccion-datos-que-lecciones-se-pueden-extraer\" target=\"_blank\" rel=\"noopener\">mult\u00f3 con 2,5 millones de euros a Mercadona<\/a> por una violaci\u00f3n de la privacidad de los usuarios: en este caso, por un proyecto piloto de reconocimiento facial que llevaron a cabo meses antes y que sent\u00f3 un precedente para este tipo de sistemas.<\/p>\n<p><!-- BREAK 8 --><\/p>\n<p><strong>Con esos datos, una amenaza: suplantaciones de identidad<\/strong>. Siempre que los datos de los clientes son robados, hay una amenaza clara: la de que sean usados para suplantar la identidad de esos clientes. Con esos datos es posible configurar estafas personalizadas y dirigidas, mucho m\u00e1s cre\u00edbles y peligrosas para las v\u00edctimas. El otro riesgo inmediato es que los ciberdelincuentes usen esas credenciales para tratar de robarnos cuentas en todo tipo de servicios, de ah\u00ed la importancia de <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/basics\/como-crear-contrasenas-seguras-consejos-habituales-como-hacerlo-gestor-contrasenas\" data-vars-post-title=\"C\u00f3mo crear contrase\u00f1as seguras: consejos habituales y c\u00f3mo hacerlo con gestor de contrase\u00f1as \" data-vars-post-url=\"https:\/\/www.xataka.com\/basics\/como-crear-contrasenas-seguras-consejos-habituales-como-hacerlo-gestor-contrasenas\" target=\"_blank\" rel=\"noopener\">no usar la misma contrase\u00f1a<\/a> en distintas plataformas.<\/p>\n<p><!-- BREAK 9 --><\/p>\n<p>Imagen | Xataka<\/p>\n<p>En Xataka | <a class=\"text-outboundlink\" href=\"https:\/\/www.xataka.com\/seguridad\/espana-tiene-centro-criptologico-nacional-adscrito-al-cni-visitamos-epicentro-ciberseguridad-pais\" data-vars-post-title=\"Visitamos el Centro Criptol\u00f3gico Nacional del CNI: aqu\u00ed est\u00e1 el epicentro de la ciberseguridad espa\u00f1ola\" data-vars-post-url=\"https:\/\/www.xataka.com\/seguridad\/espana-tiene-centro-criptologico-nacional-adscrito-al-cni-visitamos-epicentro-ciberseguridad-pais\" target=\"_blank\" rel=\"noopener\">Visitamos el Centro Criptol\u00f3gico Nacional del CNI: aqu\u00ed est\u00e1 el epicentro de la ciberseguridad espa\u00f1ola<\/a><\/p>\n<\/p><\/div>\n<p><a href=\"https:\/\/www.xataka.com\/seguridad\/cinco-ciberataques-identicos-no-bastaron-carrefour-reaccionara-asi-que-han-multado-3-2-millones-euros\" class=\" target=\" title=\"Carrefour recibi\u00f3 cinco ciberataques id\u00e9nticos y no hizo nada. Ahora tiene una multa de 3,2 millones de euros\" target=\"_blank\" rel=\"noopener\">Ver fuente<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La Agencia Espa\u00f1ola de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por presuntas infracciones de varios art\u00edculos del RGPD. Lo sorprendente no es eso, sino el hecho de que esas infracciones se debieron no a un solo ciberataque, sino a cinco&#8230; exactamente iguales. Brechas de seguridad. Carrefour notific\u00f3 a [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":71215,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[],"class_list":["post-71214","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia"],"_links":{"self":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/71214","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=71214"}],"version-history":[{"count":0,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/posts\/71214\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=\/wp\/v2\/media\/71215"}],"wp:attachment":[{"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=71214"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=71214"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/enfoquenoticioso.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=71214"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}