Ciberataque a Gucci y Balenciaga: datos de millones de clientes filtrados
Millones de usuarios han visto expuestos sus datos personales debido a un ciberataque que afectó a marcas de lujo como Gucci, Balenciaga y Alexander McQueen. Según la BBC, la información fue confirmada por Kering, la empresa matriz, sin entrar en demasiados detalles.
El responsable: ShinyHunters
Detrás del ataque está el grupo ShinyHunters (identificado como UNC6040 por Microsoft), especializado en la exfiltración masiva de datos mediante vulnerabilidades en entornos cloud y aplicaciones web. Entre sus víctimas previas se incluyen Salesforce, Banco Santander y Ticketmaster.
Datos robados y cómo ocurrieron
Kering informa que los atacantes accedieron temporalmente a datos mediante credenciales internas comprometidas, probablemente a través de campañas de phishing dirigidas a portales de Salesforce. Los datos robados incluyen:
- Correo electrónico del cliente
- Nombre completo
- Número de teléfono
- Dirección de envío
- Total de compras realizadas (entre 10.000 y 86.000 USD)
No se filtraron contraseñas ni información de tarjetas de pago.
Impacto y medidas legales
El incidente afectó aproximadamente a 7,4 millones de direcciones de correo electrónico. Conforme al Reglamento Europeo de Protección de Datos (UE 2016/679), Kering notificó a los clientes afectados por correo electrónico y siguió las recomendaciones de las autoridades, rechazando pagar el rescate solicitado por los atacantes en Bitcoins (0,00045 BTC).
Cómo protegerse ante estas brechas
Si tus datos se han visto comprometidos, es fundamental actuar con prudencia:
- Desconfiar de comunicaciones inesperadas: correos o SMS que suplen a Gucci o Balenciaga pueden ser intentos de phishing.
- Verificar siempre la fuente: realiza cualquier gestión directamente desde los sitios oficiales, no desde enlaces externos.
- Monitorizar actividad sospechosa: aunque no se filtraron datos de pago, permanece alerta ante comunicaciones inusuales.
- Cambiar contraseñas: sobre todo si se reutilizan en otros servicios.
Riesgos asociados a la información filtrada
| Categoría de Dato | Información filtrada | Riesgo para el cliente |
|---|---|---|
| Identificación personal | Nombre completo, email, teléfono | Phishing y suplantación de identidad |
| Información transaccional | Dirección de envío, historial y gasto total | Ingeniería social, fraude, perfilado para futuros ataques |
| Datos excluidos | Contraseñas, tarjetas y métodos de pago | Reducción de riesgo de fraude financiero directo |
Este caso demuestra que incluso empresas de lujo están expuestas a ciberataques, resaltando la importancia de la ciberseguridad y la precaución del usuario frente al phishing y la ingeniería social.
