A finales de enero, supimos del ciberataque a Douglas. Probablemente, si has acudido a alguna franquicia a comprar un perfume o una prenda de ropa, te hayan propuesto hacerte una tarjeta de cliente vip. Así, de una forma cómoda, pueden contactar contigo a través del teléfono o correo electrónico con ofertas o la promesa de grandes descuentos. En Gesprodat, sabemos la importancia de estos datos personales y su tratamiento adecuado, ya que son el objetivo de los ciberdelincuentes. Por ello, analizaremos este caso a continuación.
Así fue el ciberataque a Douglas
Una vez más, tenemos noticia de que los datos almacenados de los clientes han quedado expuestos con el riesgo de que puedan ser estafados. Ahora le toca el turno a la cadena de perfumería y cosmética Douglas en España.
Al parecer, la compañía se percató de que había una web falsa de su firma con el objetivo de obtener los datos personales de sus clientes. Sin embargo, los hechos no quedan aquí. Los ciberdelincuentes entraron en los servidores de la empresa en España por una quiebra de seguridad y captaron los datos de los titulares de la tarjeta Douglas Beauty Card.
Según advierte la misma compañía, lo más seguro es que los atacantes quisieran desviar a estos clientes a esa página falsa para obtener datos. No obstante, también señala riesgos de phishing.
¿Cómo ha reaccionado la empresa tras esta quiebra de seguridad?
Como no podía ser de otra manera, la compañía ha puesto el incidente en conocimiento de los clientes y les indica cómo actuar. Les indica cuáles son los dominios legales de la firma y les advierte que no deben seguir otros que les lleguen por correo electrónico. Con todo, no fueron capaces de señalar concretamente la naturaleza de los datos expuestos.
Por otra parte, también informaron a las autoridades de control pertinentes, que bloquearon la web falsa. Asimismo, abrieron una investigación para determinar con exactitud qué es lo que había ocurrido y reforzaron sus sistemas de seguridad.
¿Qué puedes aprender de esta noticia?
Que a las distintas empresas les encanta recopilar nuestros datos personales para sus campañas de marketing, es un hecho. Sin embargo, muchas de ellas no están capacitadas para cuidarlos o no tienen la suficiente responsabilidad para hacerlo. De nada sirven las buenas palabras e intenciones en forma de correo, cuando ya ha ocurrido un ciberdelito y no controlamos en manos de quiénes están nuestros datos.
En segundo lugar, debes pensar muy bien a quiénes das tus datos y como consumidores deberíamos tener garantías de las empresas sobre su cuidado. Hace unos días, también informamos sobre los clientes de Air Europa y Vodafone que debieron anular su tarjeta de crédito por otra quiebra de seguridad en sus sistemas informáticos.
Y por último, esperamos que este tipo de negligencias ocasionales que aparecen en algunas empresas acabe el 17 de octubre. Es el momento de finalización del plazo para la transposición de la NIS2. Esta directiva abre la posibilidad de que recaigan responsabilidades penales, junto con las administrativas, sobre los directivos de las empresas que no actúan con diligencia en ciberseguridad.
A corto plazo, es mejor que, en la medida de lo posible, te abstengas de proporcionar información de carácter personal. El ciberataque a Douglas es solo uno más de los que, con tanta frecuencia, estamos acostumbrados a ver en los medios de comunicación. Y en el caso de que en tu negocio seas el responsable de su tratamiento, pon en marcha un buen plan director de seguridad para que te pille todo con los deberes hechos.
