La cadena de tiendas departamentales Coppel ha reportado fallas en sus sistemas de pagos en línea, junto con problemas en las operaciones de la entidad financiera BanCoppel.
El incidente, que comenzó el 15 de abril, ha desencadenado especulaciones por parte de la Red en Defensa de los Derechos Digitales (R3D) sobre un posible ataque informático.
Según reportes previos, clientes de Coppel fueron los primeros en denunciar los fallos, lo que generó preocupación sobre la seguridad de los datos.
Sin embargo, la empresa inicialmente solo confirmó la presencia de problemas en sus sistemas, sin ofrecer más detalles.
Fue hasta el domingo 20 de abril que Coppel emitió un comunicado, publicado por el medio Expansión, admitiendo que había experimentado un “incidente de ciberseguridad”. Sin embargo, la empresa optó por no especificar la naturaleza ni la magnitud del incidente.
Una de las teorías predominantes de R3D apunta hacia un posible ataque de ransomware, un tipo de software malicioso que bloquea el acceso al sistema hasta que se pague un rescate.
“No obstante, la empresa no ha confirmado ni desmentido ninguna de las versiones, limitándose solo a decir que “se activaron los procedimientos de respuesta, análisis y protección en estos casos“, asegura R3D.
Además, se ha planteado la posibilidad de que se haya extraído una base de datos, la cual se encuentra a la venta en un foro de filtraciones.
Dada la naturaleza de las operaciones de Coppel, que involucran datos personales sensibles, incluidos datos financieros y biométricos, es crucial que la empresa aclare si la información de sus clientes ha sido comprometida, afirma R3D.
Ante esta situación, la Red en Defensa de los Derechos Digitales considera imperativo que la autoridad competente, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), inicie una investigación para determinar si el incidente podría haber expuesto los datos personales de los usuarios de Coppel y sus servicios financieros.
Además, consideran que se debe evaluar si la empresa ha infringido la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) al no notificar adecuadamente sobre una posible violación de datos.
Con información de: Aristegui Noticias