Ciberseguridad

Multan a Shein con casi dos millones de dólares por mentir sobre su brecha de seguridad

La fiscal general de Nueva York asegura que Zoetop no fue clara sobre el alcance del incidente y avisó solo a una parte de los afectados.

Periodista

2 minutos

Shein, el gigante marketplace que hace furor entre los más jóvenes.

En muchos ciberataques, principalmente de ransomware, comprobamos como las compañías o servicios digitales que los han recibido tardan meses en comunicar lo ocurrido a los usuarios afectados o incluso guardan un mutismo absoluto, como si no hubiera pasado nada. 

Sin embargo, ambas actitudes pueden acarrear importantes sanciones económicas, como demuestra la noticia que nos ocupa hoy. El ecommerce de fast fashion Shein, que pertenece a la empresa Zoetop, tendrá que pagar 1,9 millones de dólares de multa por no haber sido clara respecto a un incidente de ciberseguridad ocurrido hace cuatro años. 

En 2018 los detalles de inició de sesión de 39 millones de usuarios de la tienda online de ropa Shein fueron robados después de que Zoetop, su compañiá matriz, recibiera un ciberataque. Además, también se vieron afectados otros 7 millones de clientes de Romwe, otra web de fast fashion. 

Los ciberdelincuentes se hicieron con nombres, direcciones de email, contraseñas e información de tarjetas de crédito pertenecientes a decenas de millones de titulares de cuentas de Shein y, posteriormente, los pusieron a la venta en la dark web. 

Mentiras y malos cálculos

Letitia James, fiscal general de Nueva York, ha asegurado que Zoetop mintió sobre el alcance de la brecha de seguridad y notificó únicamente a una pequeña parte de los clientes afectados por la misma. 

La oficina del fiscal recuerda que en un principio la empresa matriz de Shein informó de que el problema solo afectaba a 6,42 millones de usuarios. Igualmente, la firma perjuró que no había encontrado "ninguna evidencia" de que la información de tarjetas o pagos se hubiera comprometido y que solo se habían sustraído cosas como las direcciones de email y las contraseñas. 

Además, considera que la compañía no había salvaguardado los datos de los clientes ni tampoco informado a millones de titulares respecto a que su información personal había quedado expuesta. Sin esto, no se habría llevado a cabo el clásco restablecimiento de contraseña que suele ser necesario tras estos accesos no autorizados. 

La razón por la que el caso se está tratando en la ciudad de Nueva York es porque había 800.000 residentes en la ciudad que eran clientes de Shein y se habrían visto perjudicados por la vulneración de los datos. 

Mientras los neoyorquinos compraban las últimas tendencias en Shein y Romwe, sus datos personales fueron robados y Zoetop trató de encubrirlos”, ha afirmado James.

"No proteger los datos personales de los consumidores y mentir al respecto no está de moda", señaló la fiscal. 

Todo bien, todo correcto

Desde Shein han hablado, pero no se han enfocado demasiado en la sanción económica ni en lo ocurrido. Un portavoz de la firma ha señalado que han "cooperado plenamente" con la fiscal general de Nueva York y "nos complace haber resuelto este asunto". 

"Proteger los datos de nuestros clientes y mantener su confianza es una prioridad principal, especialmente con las ciberamenazas en curso que se plantean a las empresas de todo el mundo", comentan desde la empresa de fast fashion.