Coupang, la principal plataforma de comercio electrónico de Corea del Sur, ha revelado una brecha de datos masiva que afecta a 33.7 millones de cuentas de clientes, lo que equivale a casi dos tercios de la población coreana. Este incidente se ha convertido en el mayor evento de seguridad en el comercio electrónico de la historia del país y podría acarrear multas de hasta 900 millones de dólares (aproximadamente 1.2 billones de KRW).
El incidente expone vulnerabilidades en los sistemas de protección de datos, especialmente en plataformas de comercio electrónico que manejan información sensible como historiales de transacciones, direcciones de entrega y métodos de pago.
Acceso no autorizado no detectado durante cinco meses
Coupang confirmó la exposición no autorizada de nombres de usuario, números de teléfono, direcciones de correo electrónico, libretas de direcciones de entrega y detalles de compra. Aunque la empresa detectó un acceso inusual el 6 de noviembre, no identificó completamente la brecha hasta el 18 de noviembre, más de 12 días después.
Las investigaciones revelaron que los atacantes accedieron a los datos de los clientes a través de servidores en el extranjero durante casi cinco meses, desde el 24 de junio hasta el 8 de noviembre.
Se ha identificado a un extrabajador de Coupang como principal sospechoso. Esta persona tenía acceso a los servicios de autenticación y retuvo las claves de acceso después de su renuncia, lo que facilitó la brecha.
Datos no requeridos legalmente para ser cifrados
La información filtrada no estaba sujeta a cifrado obligatorio según la legislación coreana. La Ley de Protección de Información Personal de Corea del Sur solo exige el cifrado de datos de pago (como números de tarjetas de crédito) e identificadores únicos (como números de registro de residentes).
A pesar de que los nombres, direcciones, números de teléfono, correos electrónicos e historial de compras no son datos de pago críticos, su combinación puede generar riesgos de seguridad significativos. El análisis del historial de compras revela patrones de estilo de vida y estructuras familiares que, al vincularse con los detalles de contacto personal, pueden dar lugar a ataques de spear-phishing o incluso amenazas físicas.
Además, el cruce de esta información con datos de pago previamente filtrados puede permitir ataques de reidentificación para localizar con precisión a individuos.
Consecuencias legales y de reputación
La brecha de Coupang supera la anterior fuga de datos de SK Telecom (27 millones de usuarios), que resultó en una multa de 134.8 mil millones de KRW. Según las leyes de protección de datos enmendadas en Corea del Sur, las multas pueden ascender hasta el 3% de los ingresos anuales, lo que en el caso de Coupang podría oscilar entre 150 mil millones de KRW y un máximo de 1.2 billones de KRW.
Apenas dos días después de que la brecha se hiciera pública, comenzaron a formarse movimientos de demanda colectiva, con más de 200,000 personas uniéndose a foros en línea relacionados. La empresa también podría enfrentarse a sanciones adicionales por la lentitud en la detección del incidente.
La importancia del cifrado más allá del cumplimiento legal
Este incidente subraya la importancia de la encriptación de datos, incluso cuando no es obligatoria por ley. Los datos cifrados permanecen inútiles sin las claves de descifrado, a diferencia de los datos sin cifrar que se vuelven inmediatamente explotables.
Para mitigar los riesgos de futuras violaciones de datos, las organizaciones deben implementar soluciones de cifrado robustas y probadas, incluso para datos que no están legalmente protegidos.
Penta Security, una empresa líder en seguridad de datos, ofrece D.AMO, una plataforma de cifrado de datos que proporciona control centralizado y un sistema de gestión de claves independiente (KMS). D.AMO permite el cifrado a nivel de columna, minimizando el impacto en el rendimiento y es compatible con múltiples métodos de despliegue sin requerir modificaciones en las aplicaciones.
Conclusiones
La brecha de Coupang demuestra que la información no cubierta por los requisitos de cifrado legal aún puede representar riesgos significativos cuando se combina. Las empresas deberían considerar proteger los datos de los clientes más allá de los mínimos legales adoptando soluciones de cifrado proactivas. La prevención de una brecha de datos es fundamental para mantener la confianza del cliente, evitar multas masivas y asegurar la continuidad de las operaciones.
Referencias
- [Penta Security - D.AMO Datasheet] (https://www.pentasecurity.com/d-amo-datasheet/)