La noticia de un ataque cibernético a gran escala contra Cecotec, ocurrido hace unos años, emergió ayer, revelando el hurto de información personal de cientos de usuarios. El principal problema no radica tanto en la magnitud del ataque, ya que solo afectó al 0.1% de los usuarios de una plataforma que ya estaba fuera de servicio, sino en el hecho de que Cecotec mantuvo este incidente en secreto durante tanto tiempo.
Por esta razón, organizaciones de consumidores, como FACUA-Consumidores en Acción, han instado de manera formal a la Agencia Española de Protección de Datos (AEPD) a que investigue a Cecotec por este suceso, poniendo especial énfasis en la demora de la empresa en comunicar el ataque a los posibles afectados: dos años después de que ocurriera.
Como mencionamos anteriormente, el ataque resultó en el robo de los datos identificativos más relevantes de los usuarios, incluidos nombres, apellidos y DNI, además de información de contacto como números de teléfono y direcciones postales. Sin embargo, el ataque se llevó a cabo en una plataforma ya desactivada y afectó estrictamente a un número muy limitado de usuarios: 933 antiguos usuarios, lo que representa apenas el 0.1% de sus 821.169 clientes totales.
Solicitud a la AEPD para que investigue a Cecotec
Según ha reportado FACUA, el principal motivo para alertar a la AEPD sobre este incidente es que se habrían infringido varios principios del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, referente a la protección de las personas físicas con respecto al tratamiento de datos personales y a la libre circulación de estos datos (RGPD). En particular, es crucial determinar si «Cecotec proporcionó en su momento la información pertinente sobre este ciberataque y si ha iniciado una investigación para verificar si la empresa ha cumplido con todas las disposiciones de la normativa europea y española vigente».
La legislación vigente establece que, en caso de una violación o robo de datos, los usuarios deben ser informados de manera inmediata y lo más pronto posible «cuando sea probable que la violación de la seguridad de los datos personales suponga un alto riesgo para los derechos y libertades de las personas físicas, el responsable del tratamiento notificará al afectado sin demoras indebidas».
Por su parte, Cecotec ha comunicado que implementó una serie de medidas para prevenir que un incidente similar se repita, incluyendo la desactivación de la plataforma, la revocación y eliminación de permisos, la creación de un Comité de Seguridad Interno, la realización de simulacros de phishing y la implementación de una herramienta interna para detectar sitios web fraudulentos, entre otras medidas adicionales previamente adoptadas, de las cuales no proporcionó detalles clave.
Hola, soy Carlos, parte del equipo de MuyMac. Me apasiona compartir las últimas novedades en entretenimiento y conectarte con el mundo del cine, la música y la cultura pop.
