Los recientes problemas de ciberseguridad que han afectado a El Corte Inglés ponen en entredicho su capacidad para asegurar los datos de sus clientes, así como los accesos no autorizados a servicios troncales o complementarios que, como es el caso de la megafonía, ofrecen desde sus tiendas y centros comerciales. Si bien en los dos casos más recientes las brechas de seguridad, tal y como ha reconocido la propia empresa, se han producido sobre infraestructuras de proveedores, existen razones para pensar que detrás de estos proveedores se vuelvan a encontrar servicios ofrecidos por El Corte Inglés, o incluso por la nueva joya de la corona, Kio Networks España, la compañía con la que el grupo pretende consolidarse como un importante player en nuestro país en centros de datos. Llegado el caso estos fallos podrían poner en evidencia no solo la capacidad de El Corte Inglés de proteger la información de sus clientes, sino también la de las empresas a las que facilitan estos servicios digitales.
La irrupción en el negocio de los centros de datos
En octubre 2024 El Corte Inglés entraba en el negocio de los centros de datos tras hacerse con el 100% de Kio Networks España, compañía de la que ya controlaba el 50% restante, tras la adquisición del resto a su matriz mexicana.
Con esta operación, El Corte Inglés consolidaba su presencia en un sector estratégico como el de los centros de datos, y desde entonces ofrece servicios de almacenamiento en la nube, ciberseguridad y automatización para empresas y entidades públicas.
KIO España tiene dos centros de datos en Murcia y Paterna, los cuales forman parte de los menos de 50 Data Center con certificación TIER IV en el mundo, y en los que El Corte Inglés optimiza procesos clave como el comercio electrónico, la gestión de inventarios y el análisis de datos de los clientes. Y es que el control de un centro de datos propio permite a El Corte Inglés gestionar mejor su información y ser más eficiente en la prestación de servicios digitales.
En teoría, esta adquisición permitía al Corte Inglés gestionar sus datos de manera más segura y con mayor control, factores fundamentales en un mundo donde la ciberseguridad y la protección de la información son cuestiones prioritarias para todas las empresas. Por eso, el comunicado proporcionado por el propio Corte Inglés el pasado 3 de marzo en el que avisaba a sus clientes de que había sufrido un "acceso no autorizado" a datos identificativos y de contacto, así como a números de tarjeta para compras en la cadena comercial, supuso un auténtico shock en la compañía.
El Corte Inglés informó entonces que había tomado las medidas oportunas para evitar daños mayores, pero el robo ya se había producido, y si bien se aseguraba que el acceso no autorizado se había producido a un proveedor externo, no se informaba de la menor o mayor participación de KIO España en este “agujero”.
Posteriormente, el 24 de marzo, algunos medios publicaron que los datos se encontraban ya a la venta en foros ilegales de Internet. Según relataba El Grupo Informático, medio de comunicación digital sobre la actualidad informática y nuevas tecnologías, en un foro de hacking conocido por ser una de las mayores plataformas de venta e intercambio de datos filtrados un usuario afirmaba haber obtenido la base de datos completa de El Corte Inglés, compuesta por cerca de 12 millones de registros. Este usuario aseguraba que esta incluía datos como números de identificación, nombres, apellidos, teléfonos y correos electrónicos, junto con los números de tarjeta de cliente de El Corte Inglés. El precio de esta, 15.000 dólares.
‘Roben todo lo que puedan’
Solo cinco días después, el sábado 29 de marzo, un hackeo en la megafonía de los centros de El Corte Inglés incitaba a ‘robar todo lo que se pueda’, como recordarán los lectores de Escudo Digital.
Este ataque, tal y como reconoció el propio Corte Inglés, se produjo contra el proveedor que lleva la megafonía, con lo que a priori cabe pensar, más allá de la responsabilidad final, que también en esta ocasión el acceso no autorizado se produjo lejos de las instalaciones del grupo que preside Marta Álvarez.
Sin embargo, sucede que, al igual que ocurre con SICOR (empresa de seguridad y limpieza del propio Corte Inglés), dicho grupo oferta e invita “amablemente” a muchos de sus proveedores a ser clientes a su vez de sus empresas servicios, lo que abriría la posibilidad, tanto en este caso como en el robo de datos anunciado a primeros de marzo, de que el o los proveedores afectados pudieran ser a su vez clientes del propio Corte Inglés, y que la o las brechas de seguridad se encuentren finalmente “en casa”.
Esta hipótesis implicaría un problema serio de ciberseguridad para este servicio del Grupo y, más allá, un gravísimo contratiempo para el desarrollo de una línea de negocios como es la de los centros de datos en la que la compañía tiene puesta toda su confianza.
Sería importante confirmar si detrás de estas vulnerabilidades se encuentra afectada Kio Networks España, y, de ser así, si corren algún tipo de riesgo los datos de sus 500 empresas clientes.