Soy un sufrido cliente de Carrefour desde hace varios años (décadas diría yo), usando, entre otros servicios, su tarjeta Pass para mi operativa habitual. "Sin mencionar" el progresivo deterioro en la calidad de sus productos y servicios, el farragoso sistema de atención al cliente en el que es casi imposible que te atienda una persona, y la disparatada subida de precios de los últimos años alejando mucho a Carrefour de una zona de competitividad, hoy quería centrarme en la intrusión en sus sistemas informáticos que ha tenido lugar recientemente dejando al descubierto datos personales de miles de clientes.
El pasado 22 de diciembre de 2023, Carrefour Servicios Financieros se puso en contacto conmigo enviándome el siguiente e-mail:
Estimado cliente: Nos podemos en contacto contigo para informarte de que hemos sufrido un acceso ilícito a nuestros sistemas. Desde el momento en que tuvimos conocimiento del incidente, pusimos en marcha las medidas necesarias para detenerlo de inmediato, evitar su repetición y resolver el incidente. Te confirmamos que en ningún caso están comprometidas tus posiciones o claves de acceso a Servicios Financieros Carrefour, aunque sí se ha accedido a datos personales básicos, de contacto, número de DNI entre otros datos. Puedes seguir realizando tu operativa habitual con total normalidad a través de cualquiera de nuestros canales. No obstante te recordamos la necesidad de estar atento en todo momento a las comunicaciones electrónicas, movimientos de cuentas bancarias y a cualquier actividad atípica que pueda guardar relación con tus datos personales. En especial, te recomendamos que desconfíes de llamadas, correos electrónicos o SMS donde el interlocutor o remitente no esté claramente identificado, te pidan información como tu número de cuenta, datos de tarjetas o claves de acceso y además tengas especial cautela con los enlaces incluidos en estos mensajes. La protección de los datos personales es la prioridad de Servicios Financieros Carrefour. Nos ponemos a tu disposición para cualquier consulta adicional, a tal fin puedes contactarnos a través del teléfono gratuito 915668741 o dirigiéndote al Delegado de Protección de Datos de Servicios Financieros Carrefour en es_oficina_privacidad_sfc@ carrefour.com
Mi estupor dio paso a la preocupación por tener que estar revisando cada movimiento de mi cuenta bancaria por si se producía algún cargo que no me correspondiera. Pero qué lío era este. Y es que con los datos básicos se podrían contratar muchos servicios a nombre de otra persona, amén de otras potenciales formas de obtener lucro a mi cargo nacidas de la imaginación de los ciberhijoputas que obtuvieron mis datos de manera delictiva.
Lo primero que hice fue intentar contrastar la información, como cuando se te va la luz en casa y sales al rellano a encender la de la escalera. ¿Cuál es el rellano digital? Twitter (o X, aunque prefiero seguir llamándolo twitter). Ni una palabra. Una rápida búsqueda en Google tampoco reveló ninguna noticia ni información al respecto. ¿Acaso era yo el único afectado?
Al buscar en un famoso foro español, me encontré con que otro cliente había recibido la misma comunicación que yo, pero sin más información al respecto, decidí escribir a la oficina de privacidad de Servicios Financieros Carrefour solicitando que me ampliaran la información y citando exactamente cuáles eran los datos míos a los que hackers habían tenido acceso. En un plazo razonablemente ágil me contestaron con el siguiente correo:
Buenos días Daniel,
Los tipos de datos que se han visto afectados por el incidente serían: datos básicos (nombre, apellidos, fecha de nacimiento, nacionalidad), número de DNI (no la digitalización del mismo), ID de cliente, fecha de alta del cliente, datos de contacto (teléfono de contacto y dirección postal), número de socio del Club Carrefour, importes concedidos de las línea de crédito y contado de la Tarjeta Pass (sin movimientos asociados). Respecto a los datos de medios de pago y financieros (número de Tarjeta y número de cuenta bancaria), los datos se encontraban parcialmente ofuscados por lo que no se han visto comprometidos.El incidente de seguridad ha sido reportado tanto a las autoridades policiales como a la Agencia Española de Protección de Datos. Todos los detalles técnicos recabados han sido puestos a disposición de las autoridades competentes de la investigación.El equipo de Seguridad de la Información de la entidad ha reforzado las medidas técnicas para evitar su repetición Asimismo, la entidad ha reforzado los procesos de monitorización continua y se han adoptado medidas organizativas adicionales para evitar que se puedan utilizar los datos personales comprometidos para dirigirse a Servicios Financieros Carrefour en nombre de un afectado y tratar de obtener más información sobre él.Nos ponemos a su disposición para cualquier consulta adicional a través de los canales habituales de la entidad, o bien, a través de este mismo email.Reciba un cordial saludo.
Rápidamente me surgió la siguiente duda: si no habían tenido acceso a la numeración completa de mi tarjeta ni tampoco la de mi cuenta bancaria, ¿cómo podrían hacerme algún cargo? Supongo que en el primer correo recomendaron estar pendiente de los movimientos de la cuenta "por si acaso" y así curarse en salud, pero verdaderamente resulta inquietante hasta qué punto están expuestos nuestros datos en sistemas informáticos supuestamente seguros, y cabría plantearse hasta qué punto es Carrefour responsable de su custodia.
De momento, ya estoy mirando otros sitios para sacarme una buena tarjeta de débito.
No hay comentarios:
Publicar un comentario