Los ciberdelincuentes cercan a la distribución con los datos de sus clientes como botín

15 euros por un DNI. 50 por el usuario y contraseña a un portal de internet. 100 por una tarjeta de crédito válida. En un contexto en el que la ciberdelincuencia bate cada año registros récord, la búsqueda de todo tipo de datos personales se ha convertido en un preciado botín. Según los últimos datos disponibles del Instituto Nacional de Ciberseguridad (Incibe), tres de cada 10 incidentes detectados en España en 2023, más de 26.600, tuvieron como objetivo el robo de información personal. Ese mismo año, 22.000 empresas privadas registraron algún tipo de incidente de seguridad.

Las cifras crecen cada año, y en su búsqueda de más y más datos, los ciberdelincuentes han encontrado en el sector de la distribución un objetivo claro. Empresas como El Corte Inglés, Tendam o Alcampo han confirmado en los últimos meses brechas de seguridad que han afectado a información de sus clientes o a sus sistemas básicos de funcionamiento. El último caso fue el de El Corte Inglés, que reconoció esta semana a sus clientes un ataque informático que consiguió acceder a sus datos personales, tras quebrar las defensas de uno de sus proveedores.

No es casualidad. El sector retail ha escalado posiciones en los últimos años entre los sectores que más sufren incidentes de seguridad. Según el último informe de la agencia europea de ciberseguridad Enisa, este sigue por detrás de sectores estratégicos como el bancario, el sanitario o la propia administración pública en número de casos, pero ya está por delante de defensa o educación.

“El sector retail es un objetivo clarísimo porque tiene muchísimos datos de clientes, e históricamente se ha protegido menos que otros sectores”, explica Jordi Juan, socio del área de consultoría tecnológica y ciberseguridad de EY. Este ahonda en que este sector empresarial opera con unos márgenes más ajustados que, por ejemplo, banca, seguros, compañías de telecomunicaciones o energéticas, que han podido invertir “mucho más” durante años en sistemas de protección.

El objetivo último de los ciberdelincuentes no es otro que ganar dinero vendiendo en el mercado negro los datos que sustraen. Y dentro de ellos, los hay con más o menos valor. Los financieros son la joya de la corona, de ahí que la banca sea un objetivo prioritario de estas mafias. “El sanitario también tiene datos de mucho valor para el ciberdelincuente. Y en tercer lugar está el retail, porque maneja muchas transacciones, mucha información financiera relevante, con tarjetas, códigos de seguridad, que se venden en el mercado negro”, dice Marc Martínez, responsable de riesgos tecnológicos y ciberseguridad de KPMG en España.

Por poner en contexto, El Corte Inglés cuenta con 11 millones de usuarios de su tarjeta de compra. Tendam, dueña de Cortefiel y atacada en septiembre, reconoció que los ciberdelincuentes accedieron a datos como el DNI de sus socios de los clubes de fidelización, en los que suma más de 30 millones de usuarios entre todos sus mercados.

“El auge del comercio electrónico y la digitalización han convertido a las empresas del sector retail en un objetivo atractivo para explotar vulnerabilidades en sistemas de pago, bases de datos y redes internas”, explica Santiago Bayo, responsable de seguridad de la información (CISO, por sus siglas en inglés) de Dia. El directivo de la compañía de supermercados confirma la tendencia al alza de las amenazas, tanto en frecuencia como en sofisticación. “El foco de interés está en los datos personales y financieros con los que puede contar una compañía, debido a las transacciones que gestiona o a su base de clientes fidelizados”.

Unas amenazas que, en su caso, observa como una “oportunidad para fortalecer nuestra seguridad e incrementar las medidas de vigilancia para prevenir y gestionar con agilidad cualquier incidente”. La pandemia fue un punto de inflexión para el sector. El confinamiento obligó a todos los distribuidores, especialmente los de alimentación, a desarrollar en cuestión de meses unos sistemas de comercio electrónico para los que, en condiciones normales, hubiese necesitado años.

“Ese proceso lo que hizo fue elevar su perímetro de exposición al riesgo. Y al hacerlo con prisas, muchas veces se dejó de lado la seguridad por la funcionalidad del negocio”, dice Jordi Juan, de EY.

Tipos de ataques

Los ataques a las empresas de distribución siguen las mismas técnicas que al resto. Los más habituales son, por una parte, los llamados ransomware: el atacante bloquea los datos de una empresa, los encripta, y pide un rescate bajo la amenaza de hacerlos públicos. “Son los que tienen más éxito”, dice Marc Martínez, quien recuerda que el pago del rescate es ilegal, aunque reconoce que “muchas empresas lo hacen”. Eso les permite recuperar la información sustraída, pero al hacerlo, quedan registradas entre las empresas que abonan el precio que piden los delincuentes.

Pero el grueso de las incidencias, explica Jordi Juan, viene a través del phishing, y por regla general, a través de los empleados mediante correos electrónicos fraudulentos. “Con los avances en inteligencia artificial, cada vez es más difícil diferenciarlos”.

Como explica Marc Martínez, de KPMG, “la seguridad nunca se llega a tener al 100%”, y aunque las empresas cada vez invierten más en ello, muchas carecen aún de algunos elementos básicos de protección: desde un responsable de seguridad que conozca las principales amenazas, a la inversión en copias de seguridad o en mayores controles de identidad.

En el caso de Dia, Santiago Bayo describe que cuentan con un plan estratégico multianual, herramientas avanzadas de detección y respuesta, procesos de gestión del riesgo, planes de continuidad o sistemas específicos de monitorización y alertado. Aunque el ejecutivo pone énfasis en la prevención y la anticipación, lo que requiere de “inversión en tecnología, contar con profesionales adecuados, hacer divulgación interna y externa de los riesgos y amenazas, y seguir de cerca tendencias y regulaciones para adaptar la estrategia de forma proactiva”.

Este añade que la ciberseguridad debe ser una “responsabilidad compartida”, lo que comparte Jordi Juan, de EY. “Un gran número de ataques entra por un correo electrónico que incluye un enlace malicioso. Esa concienciación tiene un coste reducido y el impacto es muy grande”.

Responsabilidad

Eso, cuando el ataque lo recibe la propia empresa. Pero en ocasiones, como la que reportó El Corte Inglés, este lo recibe un proveedor. “Es muy habitual que suceda, porque tienen acceso a esos datos, pero quizá no el grado de seguridad de su cliente”, dice Marc Martínez, de KPMG.

Sin embargo, recuerda que la responsabilidad, como fija el Reglamento General de Protección de datos, está en el dueño de los datos, y es el que encara potenciales sanciones económicas de la Agencia de Protección de Datos, que entra de oficio cuando se produce una salida de datos personales y puede imponer multas millonarias. Este sí puede trasladar ciertas responsabilidades a su proveedor en el contrato, a través de cláusulas que contengan, por ejemplo, una indemnización en caso de brecha de seguridad.

Y el cliente final, ¿qué margen tiene? En general, poco. “Pedir a la empresa que borre sus datos. O ir a Protección de Datos y poner una demanda”, añade Martínez.