La firma de cosméticos de origen japonés Shiseido podría enfrentarse a una demanda colectiva en Reino Unido de empleados y ex empleados de la organización. Esta podría concentrar a 70 u 80 personas.
El incidente que originaría esta acción legal conjunta sucedió en primavera y se dio a conocer a la Oficina del Comisionado de Información (ICO) a mediados de abril, supuestamente, en el plazo de 72 horas que marca la ley.
Sin embargo, los trabajadores de la compañía tenían constancia de Shiseido estaba al tanto de la brecha de seguridad al menos un mes antes de comunicar el suceso a la autoridad pertinente.
La violación de datos supuso que información sensible, como imágenes de documentos de identificación, detalles bancarios y datos de contacto habría quedado en manos de los ciberdelincuentes.
Los cibermalos han pedido créditos y formado empresas
De hecho, desde entonces una gran parte de los afectados ha tenido que lidiar con cómo sus datos personales se han usado a posteriori por parte de los cibermalos.
Los ciberdelincuentes se han servido de ellos para hace cosas como pedir préstamos bancarios en su nombre o incluso constituir empresas fraudulentas, usándolos como administradores. Con las copias de sus pasaportes o documentos de identidad les ha sido relativamente sencillo. Así, habría medio millar de personas que se han encontrado como tienen una empresa a su nombre.
“Ha sido bastante angustioso para ellos. Casi todos ellos han visto bajar sus puntajes de crédito. Hemos visto a personas que solicitan hipotecas sufrir el rechazo de los bancos debido a esto. La madre de una señora se estaba muriendo de una enfermedad terminal en todo este proceso, y esto la distrajo y le causó cierta angustia a su madre en sus últimas semanas”, ha comentado a Computer Weekly un abogado de la empresa que va a llevar el caso.
Shiseido traró en su momento de 'maquillar' su responsabilidad sobre la brecha de datos, aunque ha proporcionado a los afectados acceso a servicios de control de crédito mediante Experian. Además, en verano pidieron la eliminación de más de 300 sociedades fraudulentas del registro.
Para los abogados no es suficiente y aseguran que la firma de cosméticos se está gastando una suma de dinero insignificante en resolver un problema con el que habían indicado que no tienen nada que ver.
El bufete está tratando de desentrañar qué sabía Shisheido sobre la infracción, qué información pasó a la ICO cuando la comunicó y qué información exacta albergaban los archivos que cayeron en manos de los actores de amenazas.