Carphone Warehouse recibió una multa de £ 400k luego de una violación sustancial de datos

La Oficina del Comisionado de Información (ICO, por sus siglas en inglés) ha impuesto una multa de £400,000 al minorista de teléfonos móviles Carphone Warehouse por no proteger adecuadamente los datos de los clientes, lo que resultó en una violación de datos en 2015.

Carphone Warehouse recibió una multa de £ 400k luego de una violación sustancial de datos

Según el regulador de protección de datos, la empresa no implementó la infraestructura suficiente, no siguió los procedimientos correctos ni se adhirió a las protecciones descritas en la Ley de Protección de Datos, para evitar una pérdida catastrófica de datos.

Los delincuentes cibernéticos pudieron ingresar a los sistemas de la empresa y acceder a los datos personales de millones de clientes en un ataque descrito como "sofisticado" en ese momento.

El ataque afectó a más de tres millones de clientes y 1.000 empleados, y los atacantes accedieron a información como nombres, fechas de nacimiento, direcciones y datos bancarios.

El almacén de Carphone fue responsable de una serie de "fallas sistémicas" que condujeron al ataque de datos, dijo el ICO, cuando abofeteó a la empresa con una fuerte multa.

Después de que la ICO se enterara de la violación de Carphone Warehouse, abrió una investigación exhaustiva para descubrir cómo ocurrió el ataque y las irregularidades de la empresa. En total, descubrió 11 problemas.

La empresa de tecnología se basó en un software que estaba desactualizado y carecía de "controles rigurosos" sobre quién podía acceder a los datos de los clientes. Los investigadores también descubrieron que la empresa confiaba en la misma contraseña raíz para varios servidores.

La ICO dijo que había "insuficiencias claras y significativas en los arreglos de seguridad" y dijo que la empresa no implementó "medidas básicas y comunes".

Dijo que, como un importante "controlador de datos", Carphone Warehouse debería haber utilizado sistemas para cumplir con "los principios de protección de datos".

Una de las reglas deja en claro que las empresas deben “tomar medidas responsables para garantizar la confiabilidad de cualquier empleado” con acceso a los datos de los clientes.

Y en lo que respecta a la infraestructura, las empresas deben asegurarse de que están utilizando hardware de protección de datos que brinde “suficientes garantías con respecto a la seguridad técnica y organizativa”.

En 2016, la ICO emitió la misma multa a TalkTalk cuando un pirata informático pudo acceder a los datos personales de más de 150.000 clientes.

LEER A CONTINUACIÓN: ¿Qué es el RGPD? Todo lo que necesita saber sobre sus datos y cómo se utilizan

La comisionada de información Elizabeth Denham dijo: “Una empresa tan grande, con buenos recursos y establecida como Carphone Warehouse debería haber estado evaluando activamente sus sistemas de seguridad de datos y asegurarse de que los sistemas fueran sólidos y no vulnerables a tales ataques.

“Carphone Warehouse debería estar en la cima de su juego en lo que respecta a la ciberseguridad, y es preocupante que las fallas sistémicas que encontramos estén relacionadas con medidas rudimentarias y comunes”.

Carphone Warehouse también respondió diciendo: “Aceptamos la decisión de hoy de la ICO y hemos cooperado plenamente a lo largo de su investigación sobre el ciberataque ilegal en un sistema específico dentro de una de las divisiones de Carphone Warehouse en el Reino Unido en 2015.

“Como señala el ICO en su informe, actuamos rápidamente en ese momento para proteger nuestros sistemas, implementar medidas de seguridad adicionales e informar al ICO y a los clientes y colegas potencialmente afectados. El ICO señaló que no había evidencia de que terceros hayan utilizado datos individuales”.

Leigh-Anne Galloway, líder de resiliencia de seguridad cibernética en Positive Technologies, dijo que las empresas deben hacer más para proteger los datos personales y que podrían enfrentar multas aún mayores cuando GDPR entre en vigor.

“La multa es una declaración importante del Comisionado de Información. Muestra lo mucho que las empresas deberían valorar la santidad de sus datos en una era de infracciones masivas, especialmente en el caso de una gran marca confiable con una gran base de datos de clientes”, dijo Galloway.

“También es un disparo en la proa de tales empresas en el período previo a GDPR. Si bien es una cifra de titulares relativamente grande, es una fracción de lo que es posible bajo la nueva legislación que entrará en vigor el 25 de mayo”.

El ICO actualmente tiene un tope en la multa máxima que puede imponer, fijado en £500,000. Sin embargo, si la violación de datos hubiera ocurrido bajo el marco regulatorio de GDPR, Carphone Warehouse podría haber sido responsable de una multa de hasta 20 millones de euros, o el 4% de la facturación global.

En 2008, Carphone Warehouse recibió una advertencia del ICO por su manejo de los datos de los clientes, después de que la empresa abriera cuentas con nombres incorrectos y enviara datos confidenciales incorrectos a agencias de crédito y cobradores de deudas.

Imagen: Wikimedia Commons