El 15 de abril, la clientela de cadena de tiendas departamentales Coppel comenzó a denunciar fallos en los sistemas de pagos en línea de la empresa, así como en las operaciones de la entidad financiera BanCoppel, reportó Milenio. Estos problemas se extendieron a lo largo de varios días, alimentando la especulación de que la empresa había sido objetivo de un ataque informático.
En un inicio, Coppel se limitó a informar que había detectado fallas en sus sistemas, sin embargo, fue hasta el domingo 20 de abril que la compañía decidió comunicar que había tenido un “incidente de ciberseguridad”, según detalló Expansión, pero sin aclarar la naturaleza o el alcance.
Una de las principales hipótesis es que Coppel habría sufrido un ataque de ransomware, un programa malicioso que ‘secuestra’ el sistema a cambio de un pago de recompensa. No obstante, la empresa no ha confirmado ni desmentido ninguna de las versiones, limitándose solo a decir que “se activaron los procedimientos de respuesta, análisis y protección en estos casos”.
La empresa tampoco ha dado detalles sobre una supuesta de base de datos extraída que se oferta en un foro de filtraciones ni sobre los rumores del borrado de deudas.
Coppel es una empresa que hace tratamiento no solo de datos personales generales (como nombre, dirección, teléfono, correo electrónico o CURP), sino también de datos financieros e, incluso, de datos biométricos como huellas dactilares o iris ─por ejemplo, en las operaciones de BanCoppel o para los servicios de Afore─, por lo que debe aclarar si los datos personales de su clientela han sido comprometidos.
En este tipo de casos, es necesario que la autoridad competente ─el INAI─ inicie un proceso de verificación de oficio para determinar si este “incidente de ciberseguridad” pudo haber comprometido los datos personales de las personas usuarias de la cadena de tiendas departamentales o sus servicios financieros, así como determinar si la empresa ha violado la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) al no notificar adecuadamente sobre una posible filtración de datos.
Desafortunadamente, en México no son pocos los casos de empresas cuyas bases de datos terminan a la venta. En 2022, por ejemplo, una base de datos de 1.4 GB de Banorte fue filtrada en un foro clandestino, mientras que otras entidades financieras como BBVA o Santander también han tenido incidentes similares en el pasado.
Imagen: (CC-BY) Gibrán Aquino