Decathlon Espa?a reconoce que una brecha de seguridad dej¨® expuestos los datos de 36.704 clientes

Una brecha de seguridad en un servidor de Decathlon Espa?a ha dejado desprotegida durante un periodo a¨²n por determinar una base de datos con informaci¨®n de tiendas, empleados y clientes. As¨ª lo revela una investigaci¨®n de la empresa de ciberseguridad israel¨ª vpnMentor, que subraya que en total se han visto expuestos 123 millones de registros. Este conjunto de datos, seg¨²n los investigadores, supera los 9 GB y contiene todo tipo de informaci¨®n privada: desde nombres de usuarios de los empleados y contrase?as sin cifrar, a sus n¨²meros de seguridad social y de tel¨¦fono, nacionalidad, direcci¨®n completa, fecha de nacimiento o detalles sobre su educaci¨®n. Sin embargo, Decathlon niega que se haya visto expuesta informaci¨®n sensible y asegura?que este fallo solo ha afectado a la compa?¨ªa en Espa?a.

¡°Seg¨²n el an¨¢lisis del departamento de IT, el 99,97% son datos t¨¦cnicos internos. Y el 0,03% restante son de clientes de My Decathlon¡±, afirma en un comunicado publicado este martes. Ese 0,03% afecta, seg¨²n la compa?¨ªa, a 36.704 clientes. Decathlon, que se dedica a la venta y distribuci¨®n de material deportivo, no ha especificado a este peri¨®dico si se ha puesto en contacto con los usuarios afectados ni qu¨¦ datos espec¨ªficos se han visto expuestos. Se ha limitado a contestar que ¡°en ning¨²n caso se ha extra¨ªdo informaci¨®n ni se han filtrado n¨²meros de tarjetas de cr¨¦dito, contrase?as, n¨²meros de cuenta u otros detalles sensibles¡±. En cuanto a los datos t¨¦cnicos internos, han explicado que ¡°son propios del sistema y que no contienen ning¨²n tipo de informaci¨®n personal¡±.

Los investigadores que han descubierto el fallo, sin embargo, no afirman lo mismo. Seg¨²n explican en un informe publicado en su web, la base de datos de Decathlon Espa?a, que estaba en un servidor de ElasticSearch, ¡°contiene un verdadero tesoro de informaci¨®n de empleados: tiene todo lo que un pirata inform¨¢tico malintencionado necesitar¨ªa, en teor¨ªa, para hacerse cargo de las cuentas y obtener acceso a informaci¨®n privada¡±. Detallan que se han visto comprometidos m¨¢s de 20 tipos diferentes de datos y muestran algunas im¨¢genes como ejemplo. Adem¨¢s de los ya citados, sostienen que tambi¨¦n se han hecho p¨²blicas las horas laborales de los empleados, el periodo del contrato o sus roles en la empresa, correos electr¨®nicos de clientes e informaci¨®n de inicio de sesi¨®n sin cifrar, tanto de compradores como de administradores.

¡°Pudimos acceder a la base de datos de Decathlon porque estaba completamente desprotegida y no estaba encriptada¡±, cuentan fuentes de vpnMentor a EL PA?S. La empresa de ciberseguridad afirma que no puede valorar la escala real del problema: ¡°No revisamos todos los registros y no los descargamos por razones ¨¦ticas. Pero en las muestras que miramos, vimos mucha informaci¨®n personal identificable¡±.

Decathlon Espa?a subraya que ¡°dicho incidente fue solo de exposici¨®n de informaci¨®n y no se produjo ninguna extracci¨®n de esta¡±. Los detalles citados por vpnMentor, en manos de usuarios malintencionados, podr¨ªan generar numerosos problemas a los afectados. Por ejemplo, los investigadores explican que con las claves de acceso de los administradores, un ciberdelincuente podr¨ªa obtener informaci¨®n confidencial sobre tiendas, inventarios, empleados y clientes.

Tambi¨¦n podr¨ªa lanzar ataques de phising a clientes o empleados haci¨¦ndose pasar por alguien de la empresa. O incluso ir m¨¢s all¨¢. "Conocer el nombre completo, la fecha de nacimiento y otros detalles personales de un individuo puede proporcionar a los delincuentes suficiente informaci¨®n para robar la identidad de esa persona. El robo de identidad no siempre significa que el ladr¨®n afirme que es un individuo en particular en la vida real. Tambi¨¦n le permite participar en fraudes crediticios, vaciar su cuenta bancaria y estafar a familiares, amigos y otros conocidos de la v¨ªctima", explican.

C¨®mo se encontr¨® el fallo

¡°Decathlon podr¨ªa haber evitado f¨¢cilmente esta fuga si hubiera tomado algunas medidas de seguridad b¨¢sicas para protegerse¡±, explican los investigadores. No es la primera vez que un equipo de vpnMentor revela problemas de seguridad. En 2019, alert¨® de que una brecha de seguridad en un servidor privado hab¨ªa dejado desprotegidos millones de datos de ciudadanos ecuatorianos.

En esta ocasi¨®n, descubri¨® la brecha de Decathlon como parte de un enorme proyecto de mapeo web en busca de agujeros de seguridad. En estos casos, una vez que encuentran fallos en la seguridad, utilizan diferentes t¨¦cnicas para verificarlo y alertar a la compa?¨ªa. Cuando pueden, tambi¨¦n alertan a los afectados.

Los expertos en ciberseguridad descubrieron el fallo el pasado 12 de febrero. Se lo notificaron a Decathlon cuatro d¨ªas m¨¢s tarde. La compa?¨ªa francesa cerr¨® la base de datos un d¨ªa despu¨¦s, el 17 de febrero, y ha tomado medidas ¡°para garantizar que el 100% de la informaci¨®n est¨¦ protegida". Entre ellas, afirma haber solicitado el apoyo externo de dos proveedores especializados para ¡°corroborar el buen estado de seguridad¡± de sus sistemas. Tambi¨¦n est¨¢ realizando ¡°un an¨¢lisis exhaustivo¡± para intentar que este incidente no se vuelva a producir.

¡°La seguridad es una prioridad absoluta para Decathlon. El domingo 16 de febrero por la tarde se detect¨® un incidente puntual, dentro de la actividad habitual, y se resolvi¨® de forma inmediata. Decathlon quiere trasladar a sus clientes sus disculpas por este incidente que va en contra de la pol¨ªtica de protecci¨®n de datos¡±, ha afirmado en el comunicado.