La tienda erótica online, ‘Platanomelón’, ha sufrido recientemente un robo masivo de datos personales de sus clientes. Aunque la popular empresa española ha asegurado que la información bancaria no se ha visto afectada, se han filtrado cientos de nombres, correos electrónicos, teléfonos y direcciones. Pero que los datos bancarios no se hayan visto comprometidos, no significa, como explica el informático forense Bruno Pérez, un riesgo menor. Más bien todo lo contrario.
El reputado informático ha asegurado que el robo de estos datos y de esta web, en concreto, puede servir para extorsionar a los clientes afectados con revelar sus compras de juguetes sexuales. Es más, matiza Pérez, si la lista de nombres se hace pública, a parte de vulnerar el derecho a la intimidas de los clientes, "esto podría suponer un peligro real para aquellos usuarios que provengan de países en los que ciertas prácticas íntimas son perseguidas y castigadas". "Aunque no es el caso de España, pueden darse compradores extranjeros que sí que vivan con ciertas limitaciones en este sentido", asegura.
La empresa señala a dos extrabajadores de 'Shopify'
Por su lado, la empresa ya ha notificado a los afectados sobre este robo. Al parecer, los presuntos autores son dos exempleados de la plataforma de ventas online 'Shopify', que comercializa con 'Platanomelon'. Bruno Pérez explica, en el contexto para entender cómo se pueden llevar a cabo este tipo de ciberataques, que "todas las páginas web se componen de una base de datos interna que va acumulando toda la información que llega a la web, tanto de productos, como de clientes. Con un pequeño fallo de seguridad y cuatro conocimientos informáticos es muy sencillo traspasar la franja visible de estas páginas y colarte en lo que hay detrás. Es decir, en la base de datos que nosotros, como usuarios, confiamos que es intransferible".
Sin embargo, en este caso, como informó la empresa afectada, los responsables de este robo masivo de datos personales fueron dos antiguos trabajadores de esta plataforma de comercio electrónico, Shopify, que obtuvieron acceso sin autorización a los registros de transacciones de los clientes durante el mes de junio de 2020. Por lo tanto, más que un posible fallo de seguridad, la sex-shop asegura que "ha sido un hecho aislado derivado de la deslealtad de dos empleados".
Medidas adoptadas ante esta situación
Lo primero que hizo la empresa fue alertar a sus clientes y comunicarles que ni sus datos bancarios, ni sus contraseñas sufrieron ataque alguno. "Este incidente no incluye datos relacionados con tu/s contraseña/s, tarjetas de débito/crédito, cuentas bancarias u otra información financiera. Por seguridad, Shopify no almacena este tipo de datos de extrema sensibilidad en sus sistemas, ni nosotros tampoco" aseguran desde la sex-shop. Pero como el ataque se ha producido a un proveedor externo (Shopify), 'Platanomelon' no ha podido maniobrar resolviendo la brecha de seguridad y su cometido ha sido tan solo el de notificar el incidente a la Agencia Española de Protección de Datos (AEPD) y revisar los protocolos se seguridad internos.
Por su lado, la empresa afectada - que ha comprometido a otros 200 comercios, entre ellos a 'Platanomelón' - "ya ha tomado todas las medidas técnicas y organizativas necesarias para reforzar los controles de acceso de sus empleados y poder garantizar así que estos hechos no vuelvan a suceder en el futuro". Además, a raíz de lo sucedido, Shopify inició una investigación interna junto con las autoridades locales y el FBI en Estados Unidos. Adicionalmente contrató los servicios de una empresa de análisis forense de datos para indagar más sobre los hechos. Fue a partir de esta investigación que el 28 de diciembre de 2020 Shopify constató que este incidente también afectaba a la sex-shop española.
Extorsión o subasta de datos personales
Desde el Instituto Nacional de Ciberseguridad de España explicaron que los datos sustraídos "no son de gravedad", aunque Bruno Pérez alertó a preguntas de este medio que los delincuentes pueden emplear esta información para extorsionar o amenazar directamente a los clientes, algo bastante usual cuando se produce un robo de este estilo, o para subastar los datos al mejor postor de la dark web.
En caso de que algún cliente sea extorsionado o amenazado con revelar sus compras de juguetes sexuales, los expertos sugieren "no hacer caso de las amenazas, nunca pagar e ir a denunciarlo", ya que "si hacemos ese pago vamos a entrar en una espiral de pagos recurrentes" con diferentes extorsiones. No obstante, al tratarse de un robo de datos a nivel internacional es difícil perseguir a estos ciberdelincuentes, que en España se podrían enfrentar a penas de prisión que podrían alcanzar entre tres y cuatro años de cárcel.
El hecho de que se trate de un robo de datos a nivel internacional refuerza la idea del peligro añadido que comentaba Bruno Pérez sobre los problemas – sociales y políticos – a los que se pueden enfrentar aquellas personas que provengan de países más conservadores y persigan según que prácticas sexuales.
