Multa a Décimas por fuga masiva de datos de clientes
Protección de datos y privacidad
Persona tecleando de fondo con una pantalla con números en primera vista

La Agencia Española de Protección de Datos (AEPD) ha sancionado a una conocida cadena de tiendas deportivas con 120.000 euros tras una grave brecha de seguridad que expuso los datos personales de más de 330.000 clientes.

El incidente se produjo en abril de 2024 debido a un ataque de inyección SQL, una técnica que aprovecha vulnerabilidades en aplicaciones web para acceder a bases de datos. Como consecuencia, los atacantes lograron extraer información sensible como nombres, correos electrónicos, fechas de nacimiento, género e incluso números de identificación (DNI).

La investigación determinó que la organización no contaba con las medidas de seguridad adecuadas ni con sistemas eficaces de monitorización, lo que permitió que el ataque pasara desapercibido durante horas. De hecho, la brecha fue detectada por un tercero antes que por la propia empresa.

Además, los datos robados llegaron a estar disponibles en internet, lo que incrementa el riesgo de uso fraudulento. La AEPD consideró que el incidente era evitable y que se había vulnerado el principio de confidencialidad establecido en el RGPD.

 

Riesgos asociados

  • Robo y uso fraudulento de datos personales (especialmente DNI).
  • Suplantación de identidad y fraudes financieros.
  • Exposición de información sensible en internet o dark web.
  • Pérdida de confianza de clientes y daño reputacional.
  • Posibles sanciones económicas por incumplimiento del RGPD.
  • Incremento de campañas de phishing dirigidas a los afectados.

 

Medidas de protección para la ciudadanía

  • Evitar reutilizar contraseñas en distintos servicios.
  • Activar autenticación multifactor (MFA) en cuentas importantes.
  • Estar alerta ante correos o mensajes sospechosos (phishing).
  • Revisar periódicamente movimientos bancarios y actividad digital.
  • No compartir datos personales si no se verifica la legitimidad del solicitante.
  • Cambiar contraseñas si se ha interactuado con la empresa afectada.

 

Medidas de protección para PYMEs

  • Aplicar controles de seguridad en aplicaciones web (prevención de SQL Injection).
  • Implantar monitorización continua y sistemas de detección de intrusos.
  • Realizar auditorías periódicas de seguridad y pruebas de penetración.
  • Cifrar datos sensibles y limitar el acceso a bases de datos.
  • Establecer procedimientos de detección y respuesta ante incidentes.
  • Formar a empleados en ciberseguridad y protección de datos.
  • Cumplir con los principios del RGPD (integridad y confidencialidad).

 

Fuente: www.escudodigital.com

Contenido relacionado