Carrefour es uno de los supermercados favoritos de los españoles. Tiene una cuota de mercado cercana al 10% y suma unos 1.500 establecimientos repartidos por todo el país, de los que más de 200 son hipermercados y casi 1.100 son Carrefour Express. A pesar de sus éxitos comerciales, la ciberseguridad sigue siendo una asignatura pendiente para la compañía francesa, que ha recibido una multa millonaria que evidencia la necesidad de invertir urgentemente en el fortalecimiento de sus defensas digitales.
En concreto, la Agencia Española de Datos (AEPD) ha impuesto una multa de 3,2 millones de euros a Carrefour por no proteger lo suficiente los datos personales de sus clientes, ya que la empresa sufrió hasta cinco ciberataques a lo largo de 2023 y no fue capaz de desarrollar escudos eficaces para evitarlo.
“La protección de datos no puede esperar”
“Cinco ciberataques. Casi 119.000 cuentas afectadas. Y una lección clave para todas las empresas: la protección de datos no puede esperar”, ha señalado en LinkedIn Marta Trullo, abogada especializada en protección de datos, derecho digital y nuevas tecnologías.
Esta experta ha valorado que la decisión de la AEPD evidencia que “la confianza del usuario se construye también en los entornos digitales”.
Credenciales filtradas
Según ha trascendido, los atacantes usaron credenciales filtradas de empleados de Carrefour para acceder a cuentas de clientes. Lo que les facilitó las cosas fue que, en un primer momento, no se les pidió una doble autenticación. De este modo, lograron acceder a nombres, DNI, emails, teléfonos, hábitos de consumo y comportamiento comercial.
“¿Estamos haciendo lo suficiente para proteger la información de nuestros usuarios?”, se pregunta Trullo.
Casi 100.000 ciberataques en un año
Estos ataques a Carrefour se enmarcan en un contexto nacional muy delicado: España sufrió 97.348 incidentes de ciberseguridad en 2024, un 16,6% más que en 2023, lo que supone unos 260 incidentes al día y 11 cada hora.
Así lo explicó la directora de la fundación de ciberseguridad industrial de Guipúzcoa, Ziur, María Penilla, en la jornada La Voz de la Industria de Euskadi, organizada por el Centro de Ciberseguridad Industrial (CCI) en San Sebastián. De acuerdo con los datos del Incibe, los ciberataques dirigidos a las empresas también aumentaron un 43,2% y alcanzaron 31.540, un 32% del total, según datos de Incibe.