Es bastante común leer casos de empresas de otros países que son sancionadas por no proteger la información de sus clientes de manera adecuada, pero no es algo que ocurra muy seguido en la Argentina, hasta este incidente que ocurrió con Cencosud.
La Agencia de Acceso a la Información Pública sancionó al grupo Cencosud SA por no haber cumplido con los requisitos de protección de datos necesarios luego de que la firma recibió un serio ciberataque.
Cencosud es la representante en la Argentina de las empresas Easy, Jumbo, Vea y Disco.
El ataque fue realizado utilizando el malware Egregor, con el cual un grupo de hackers consiguió ingresar a los sistemas de Cencosud en el que pudieron acceder a los movimientos de compra y venta de la empresa, así como datos de los clientes y sus tarjetas de crédito.
Este ataque se dio en el formato "ransomware" ya que a la empresa se le exigió luego un rescate para no hacer pública la información.
La Dirección Nacional de Protección de Datos Personales inició una investigación de oficio, haciendo foco en el hecho de que la filtración de la información ponía en riesgo los principios de seguridad y confidencialidad de datos de los usuarios de los que Cencosud se suponía que iba a cuidar.
El organismo le exigió a la compañía que confirmara el incidente, que dé los detalles de los ataques sufridos así como las medidas que hayan tomado para reducir los daños y prevenir nuevos ataques. A la vez se le pidió que señale si se filtró información confidencial y qué medidas se tomaron en caso de que esto efectivamente haya ocurrido.
Cencosud confirmó el incidente pero afirmó que el malware solo había tenido un efecto leve, sin comprobarse la existencia de daños.
La firma instaló un nuevo sistema de protección para sus servidores, implementó una herramienta para gestionar los ataques y un servicio de análisis de eventos de seguridad que permite responder proactivamente a futuras intrusiones.
La DNPDP apuntó que Cencosud había fallado al no detallar las vulneraciones sufridas, no brindó una explicación exhaustiva de las medidas tomadas como prevención previas y posteriores al incidente.
No respondió si se había producido una filtración de datos personales e información confidencial y tampoco informó de forma apropiada a sus clientes para que puedan prevenir ser víctimas de fraudes. El organismo también señaló que la empresa sabía que a varios clientes les habían llegado correos para hacer ataques de phishing.
Con estas acusaciones, el ente aplicó una multa de $290.000 por infracciones a la ley 25.236 de Protección de Datos Personales. El valor de la multa merece una discusión aparte, dado que es posible imaginar que los datos robados pueden llegar a ocasionar daños a sus clientes por cifras mucho más grandes, según informó el sitio Redusers.