Decathlon España reconoce una brecha de seguridad

Una brecha de seguridad en un servidor de Decathlon España ha dejado desprotegida durante un periodo aún por determinar una base de datos con información de tiendas, empleados y clientes. Así lo revela una investigación de la empresa de ciberseguridad israelí vpnMentor, que subraya que en total se han visto expuestos 123 millones de registros. Este conjunto de datos, según los investigadores, supera los 9 GB y contiene todo tipo de información privada: desde nombres de usuarios de los empleados y contraseñas sin cifrar, a sus números de seguridad social y de teléfono, nacionalidad, dirección completa, fecha de nacimiento o detalles sobre su educación. Sin embargo, Decathlon niega que se haya visto expuesta información sensible y asegura que este fallo solo ha afectado a la compañía en España.

“Según el análisis del departamento de IT, el 99,97% son datos técnicos internos. Y el 0,03% restante son de clientes de My Decathlon”, afirma en un comunicado publicado este martes. Ese 0,03% afecta, según la compañía, a 36.704 clientes. Decathlon, que se dedica a la venta y distribución de material deportivo, no ha especificado a este periódico si se ha puesto en contacto con los usuarios afectados ni qué datos específicos se han visto expuestos. Se ha limitado a contestar que “en ningún caso se ha extraído información ni se han filtrado números de tarjetas de crédito, contraseñas, números de cuenta u otros detalles sensibles”. En cuanto a los datos técnicos internos, han explicado que “son propios del sistema y que no contienen ningún tipo de información personal”.

Los investigadores que han descubierto el fallo, sin embargo, no afirman lo mismo. Según explican en un informe publicado en su web, la base de datos de Decathlon España, que estaba en un servidor de ElasticSearch, “contiene un verdadero tesoro de información de empleados: tiene todo lo que un pirata informático malintencionado necesitaría, en teoría, para hacerse cargo de las cuentas y obtener acceso a información privada”. Detallan que se han visto comprometidos más de 20 tipos diferentes de datos y muestran algunas imágenes como ejemplo. Además de los ya citados, sostienen que también se han hecho públicas las horas laborales de los empleados, el periodo del contrato o sus roles en la empresa, correos electrónicos de clientes e información de inicio de sesión sin cifrar, tanto de compradores como de administradores.

“Pudimos acceder a la base de datos de Decathlon porque estaba completamente desprotegida y no estaba encriptada”, cuentan fuentes de vpnMentor a EL PAÍS. La empresa de ciberseguridad afirma que no puede valorar la escala real del problema: “No revisamos todos los registros y no los descargamos por razones éticas. Pero en las muestras que miramos, vimos mucha información personal identificable”.

Decathlon España subraya que “dicho incidente fue solo de exposición de información y no se produjo ninguna extracción de esta”. Los detalles citados por vpnMentor, en manos de usuarios malintencionados, podrían generar numerosos problemas a los afectados. Por ejemplo, los investigadores explican que con las claves de acceso de los administradores, un ciberdelincuente podría obtener información confidencial sobre tiendas, inventarios, empleados y clientes.

También podría lanzar ataques de phising a clientes o empleados haciéndose pasar por alguien de la empresa. O incluso ir más allá. "Conocer el nombre completo, la fecha de nacimiento y otros detalles personales de un individuo puede proporcionar a los delincuentes suficiente información para robar la identidad de esa persona. El robo de identidad no siempre significa que el ladrón afirme que es un individuo en particular en la vida real. También le permite participar en fraudes crediticios, vaciar su cuenta bancaria y estafar a familiares, amigos y otros conocidos de la víctima", explican.

“Decathlon podría haber evitado fácilmente esta fuga si hubiera tomado algunas medidas de seguridad básicas para protegerse”, explican los investigadores. No es la primera vez que un equipo de vpnMentor revela problemas de seguridad. En 2019, alertó de que una brecha de seguridad en un servidor privado había dejado desprotegidos millones de datos de ciudadanos ecuatorianos.

En esta ocasión, descubrió la brecha de Decathlon como parte de un enorme proyecto de mapeo web en busca de agujeros de seguridad. En estos casos, una vez que encuentran fallos en la seguridad, utilizan diferentes técnicas para verificarlo y alertar a la compañía. Cuando pueden, también alertan a los afectados.

Los expertos en ciberseguridad descubrieron el fallo el pasado 12 de febrero. Se lo notificaron a Decathlon cuatro días más tarde. La compañía francesa cerró la base de datos un día después, el 17 de febrero, y ha tomado medidas “para garantizar que el 100% de la información esté protegida". Entre ellas, afirma haber solicitado el apoyo externo de dos proveedores especializados para “corroborar el buen estado de seguridad” de sus sistemas. También está realizando “un análisis exhaustivo” para intentar que este incidente no se vuelva a producir.

“La seguridad es una prioridad absoluta para Decathlon. El domingo 16 de febrero por la tarde se detectó un incidente puntual, dentro de la actividad habitual, y se resolvió de forma inmediata. Decathlon quiere trasladar a sus clientes sus disculpas por este incidente que va en contra de la política de protección de datos”, ha afirmado en el comunicado.

Artículo publicado en El País