Brecha de seguridad, Hackeo sufrido por Glovo

El pasado mes tuvimos conocimiento de un nuevo ciberataque, en esta ocasión a la empresa de reparto a domicilio Glovo, después de los sonadísimos al SEPE, Mapfre, Adeslas,  y un largo etcétera de empresas, grandes y pequeñas, que han sufrido los efectos devastadores, por diferentes motivos, de este tipo de incidentes de seguridad.

En concreto ya sabíamos que un grupo de hackers habían logrado acceder a las bases de datos completas de Glovo, lo que supone una brecha de seguridad grave, pero que ahora se ha acrecentado al poner a la venta en internet dichas bases de datos.

En concreto, según los hackers, los datos disponibles de los usuarios de la aplicación eran:

  • Nombre completo
  • Cumpleaños
  • Correo electrónico
  • Contraseña cifrada con SHA256
  • Número de teléfono
  • Dirección física
  • Código postal
  • Tarjeta de crédito, fecha de caducidad y CVC
  • DNI
  • IBAN de la cuenta bancaria

Pero el problema no termina ahí, pues también quedaron expuestos los siguientes datos de los repartidores:

  • Nombre completo
  • Email
  • Contraseña cifrada con SHA256
  • Método de transporte
  • Código postal
  • Dirección física
  • IBAN de la cuenta bancaria
  • DNI
  • Fecha de nacimiento
  • Foto del documento de identidad

Se trata, como decimos, de una brecha de seguridad grave de confidencialidad, con un claro riesgo, dado el tipo de datos que contenía, para los propios interesados afectados. De hecho, desde distintos medios se ha recomendado a los usuarios de la empresa de reparto a domicilio que cambien la contraseña e incluso cancelen la tarjeta de crédito, para evitar problemas mayores.

Como ya sabemos, cuando ocurre un incidente de este tipo el artículo 33 del RGPD establece que: “En caso de violación de la seguridad de los datos personales, el responsable del tratamiento la notificará a la autoridad de control competente de conformidad con el artículo 55 sin dilación indebida y, de ser posible, a más tardar 72 horas después de que haya tenido constancia de ella, a menos que sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas. Si la notificación a la autoridad de control no tiene lugar en el plazo de 72 horas, deberá ir acompañada de indicación de los motivos de la dilación.”

Asimismo, el artículo 34 del propio RGPD obliga también a notificar la brecha de seguridad a los interesados cuando “entrañe un alto riesgo para los derechos y libertades de las personas físicas”.

Parece que Glovo notificó a la Agencia la brecha de seguridad, pero omitiendo que entre la información comprometida se encontraban, por ejemplo, los datos de las tarjetas de crédito. Por tanto, la comunicación a la Autoridad de Control adolecía de al menos un error grave, al margen de que también, precisamente por esta circunstancia, habría que haber notificado a todos los interesados lo que había sucedido a los efectos de que cada usuario hubiera podido adoptar las medidas que entendiera necesarias a fin de evitar problemas.

El apartado 3 del mencionado artículo 33 del RGPD indica que solo no será necesaria esta comunicación si

  • a)El responsable del tratamiento ha adoptado medidas de protección técnicas y organizativas apropiadas y estas medidas se han aplicado a los datos personales afectados por la violación de la seguridad de los datos personales, en particular aquellas que hagan ininteligibles los datos personales para cualquier persona que no esté autorizada a acceder a ellos, como el cifrado
  •  b) el responsable del tratamiento ha tomado medidas ulteriores que garanticen que ya no exista la probabilidad de que se concretice el alto riesgo para los derechos y libertades del interesado a que se refiere el apartado 1
  • c) suponga un esfuerzo desproporcionado. En este caso, se optará en su lugar por una comunicación pública o una medida semejante por la que se informe de manera igualmente efectiva a los interesados

Ninguna de estas circunstancias parece que se hayan producido en el presente caso, por lo que no existe excepción en la comunicación a los interesados, debiendo ahora permanecer atentos para ver las posibles consecuencias que en forma de sanción o de posibles reclamaciones de interesados pueda tener que afrontar la empresa de reparto a domicilio.  

0 comentarios

Dejar un comentario

¿Quieres unirte a la conversación?
Siéntete libre de contribuir!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *