El hackeo que El Corte Inglés ha sufrido este sábado ha vuelto a traer el debate las obligaciones que tienen las empresas en materia de ciberseguridad. La sorpresa causada por el curioso mensaje emitido por el servicio de megafonía de muchos centros en España no puede difuminar que se ha producido un ataque contra los grandes almacenes.
“Por favor, procedan a robar todo lo que puedan, toda la tienda esta gratis”, pudo escucharse. Ante el desconcierto, algunos clientes prefirieron abandonar el recinto. Hubo más proclamas, como “Libertad Paco Sanz, José Mota chivato podrido”. Francisco Sanz es un condenado por estafa que había pedido donaciones con la excusa de que estaba a punto de morir por el síndrome de Cowden.
Cuál es la responsabilidad del proveedor
¿Qué responsabilidad tiene la firma si el ataque ha sido contra un proveedor suyo, como es en este caso el de la megafonía? Fuentes jurídicas del entorno de la ciberseguridad señalan a Escudo Digital que las compañías que tienen cubiertos determinados servicios con otras empresas tienen la responsabilidad de “garantizar, supervisar o de verificar que sus proveedores cumplen con las medidas de seguridad que ellos les impusieron en el momento de la contratación”.
“Si el proveedor ha sufrido un incidente, lo que debe revisarse es si ese ataque era realmente inevitable o si ha sido un descuido o una negligencia por parte del proveedor”, añaden.
@ivansalvadormusic Hackean El Corte Inglés 😮 #elcorteingles #españa #hack #megafonia #viral #express #fyp #lentejas #alarma #videoviral ♬ sonido original - Ivan Salvador DJ
Un contrato entre dos partes
La investigación sobre el hackeo que recibió la megafonía de El Corte Inglés podrá aclarar las características del ataque. “Tendrá que verificarse, en función del contrato suscrito, cuáles eran las obligaciones impuestas al proveedor con respecto a las medidas de seguridad”, apuntan.
En cualquier caso, corresponde a El Corte Inglés la supervisión y auditoría de esas medidas para comprobar que realmente funcionaban. La legislación obliga a la parte contratante a garantizar que sus proveedores cumplen con los preceptos de seguridad mínimos. Se trata, aclaran, de una “obligación in vigilando”.
No ha habido brecha de datos
Este diario pudo conocer que el hackeo no afectó a brechas de seguridad ni han estado comprometidos datos de clientes o de la compañía. “Ha sido un acceso inconsentido a un sistema informático propiedad del Corte Inglés, como es su servicio de megafonía”, indican. Pero no puede considerarse una broma. Si el mensaje emitido hubiera sido que había un incendio o un anuncio de bomba, el caos podría haber provocado una tragedia. “Ahora toca a El Corte Inglés averiguar cómo han podido acceder a la megafonía”, afirman.
La explotación de la vulnerabilidad del sistema debe estar ahora en el foco. Al no haber brecha de información, no existe responsabilidad legal ni merecimiento de sanción. “Como todavía no está traspuesta a la legislación española la directiva europea NIS2 —explican a este diario—, la norma que se aplica, el Reglamento General de Protección de Datos, solo investiga y multa el robo de información. Pero en cuanto estemos al día con NIS2, el organismo encargado podrá sancionar a las empresas que no cumplan con la ley de seguridad”. Ahora mismo solo es anteproyecto de Ley de Coordinación y Gobernanza de la Ciberseguridad.
El Corte Inglés dispone de una Política de Seguridad de la Información, aprobada por el consejo de administración en 2020, actualizada en noviembre de 2023. Además, el grupo cuenta con un centro de operaciones y ciberseguridad encargado de detectar y responder ante los posibles riesgos cibernéticos.
Accesos a datos personales recientes
A principios de este mes de marzo, los clientes de El Corte Inglés recibieron un email de la compañía en el que se informaba de que recientemente un proveedor externo había sufrido “un acceso no autorizado a datos personales”.
“El incidente se identificó y se subsanó inmediatamente a través de nuestros protocolos de detección y seguridad”, señalaba el correo electrónico, que añadía que se requirió al proveedor la aplicación de medidas adicionales que prevengan este tipo de incidentes en el futuro y que los hechos ya habían sido puestos en conocimiento de las autoridades competentes.
En junio de 2024 se supo que El Corte Inglés había sufrido una filtración de datos que afectó en torno a 27.000 clientes. Un atacante publicó un anuncio en la dark web poniendo a la venta los registros, con contraseñas de usuarios y clientes, e información de acceso a distintos portales de gestión. La compañía declaró que sus sistemas no habían sufrido ninguna sustracción.