La compañía había sido la víctima de un ataque de Ransomware. Algunos de los clientes han recibido correos con intentos de phishing.
A menudo nos encontramos con noticias de otros países en los que se sancionan a empresas por no proteger adecuadamente los datos de sus clientes. Hace unos días se ha dado un caso en Argentina que resulta interesante.
La Agencia de Acceso a la Información Pública sancionó al grupo Cencosud SA por no cumplir con una serie de normativas de protección de datos luego de que esta compañía fuera víctima de un ataque informático.
Cencosud opera en Argentina a través de las empresas Easy, Jumbo, Vea y Disco.
El incidente Varios medios habían reportado un incidente de seguridad informática en la empresa que involucraba al malware Egregor. Utilizando dicha herramienta un grupo de criminales había conseguido obtener información sobre los movimientos de compra y venta de la empresa, así como datos de los clientes y sus tarjetas de crédito.
A la empresa se le exigió un rescate para no publicar la información.
La investigación La Dirección Nacional de Protección de Datos Personales inició una investigación de oficio, enfocándose en el hecho de que la filtración de la información ponía en riesgo los principios de seguridad y confidencialidad de datos de los que Cencosud tenía que ser garante para sus clientes.
El organismo le exigió a la compañía que confirmara el incidente, que detallara las vulneraciones sufridas, la medidas tomadas para mitigar el daño y prevenir futuros incidentes, señalara si se filtró información confidencial y datos personales y que medidas fueron tomadas si esto se produjo.
Respuesta y conclusiones Cencosud confirmó el incidente pero afirmó que el malware solo había tenido un efecto leve, sin comprobarse la existencia de daños. La empresa instaló una nueva solución de protección para unidades de trabajo y servidores, implementó una herramienta de gestión de vulnerabilidades y un servicio de monitoreo y análisis de actividades o eventos de seguridad para responder de forma proactiva futuros ataques.
La DNPDP apuntó que Cencosud había fallado al no detallar las vulneraciones sufridas, no brindó una explicación exhaustiva de las medidas tomadas como prevención previas y posteriores al incidente. No respondió si se había producido una filtración de datos personales e información confidencial y tampoco informó debidamente a sus clientes para prevenir que fueran víctimas de acciones fraudulentas. El organismo también apuntó que tenía conocimiento de clientes a los que les habían llegado correos con intentos de phishing.
La multa aplicada fue de unos ARS 290 mil por la infracciones a la ley 25.236 de Protección de Datos Personales.
El valor de la multa merece una discusión aparte, dado que es posible imaginar que la filtración de datos puede causar daños al conjunto de clientes por un valor muchas veces superior.