Repartidores de Glovo / EP

Repartidores de Glovo / EP

Business

Una “negligencia” de Glovo permitió a los ciberdelincuentes robar datos de 5 millones de usuarios

La plataforma registró un “acceso no autorizado” a uno de sus sistemas y ahora se subasta la información de clientes y ‘riders’ en la ‘dark web’

4 agosto, 2022 00:00

Los datos de repartidores, trabajadores y clientes de Glovo salen a subasta en la dark web. La compañía ha sufrido una nueva filtración masiva de información, como la que padeció en mayo del 2021, aunque la tecnológica cree que lo aparecido este miércoles ya se hizo público el año pasado. Aun así, en ambos casos, los expertos consultados por este medio cuestionan las medidas de ciberseguridad adoptadas por la firma, por lo que hablan abiertamente de “negligencia”.

“Tendríamos que saber si esta filtración es de este año o del pasado, porque si no [si es nueva] serían reincidentes y la sanción que le impondría la Agencia Española de Protección de Datos (AEPD) sería mayor”, explica Fernando López de Coca, abogado delegado de protección de datos de la consultora Audidat. El organismo regulador impone multas por este tipo de brechas, siempre según el tipo de datos usurpados y otros aspectos referentes a la empresa, que pueden llegar hasta los 20 millones de euros o el 4% de la facturación de la compañía. También se castiga al alza según el número de personas afectadas.

Datos de más de cinco millones de personas

Sea como fuere, en esta página del internet profundo se vende información de más de 5,79 millones de pedidos de clientes de Glovo, 37.509 repartidores --cabe recordar que, además, son autónomos--, 21.379 trabajadores de la empresa y 3.854 informes de incidencias sufridas entre McDonald’s y la tecnológica.

Imagen de un repartidor de Glovo durante su trabajo / EFE

Imagen de un repartidor de Glovo durante su trabajo / EFE

Glovo, por su parte, defiende que ha “tomado medidas adicionales para eliminar” esos datos, después de su aparición en la web. La información robada corresponde a nombres completos, direcciones postales, números de teléfono y correos electrónicos. Pero, en el caso de repartidores, también incluyen el IBAN y el método de transporte usado.

Horas clave

Todo ello se puso en conocimiento de la Agencia Española de Protección de Datos (AEPD), que en la resolución con número de expediente E/06657/2021 concluyó que “no se ha encontrado evidencias que acrediten la infracción en el ámbito competencial de la AEPD”, por lo que se procedió al archivo del caso.

“Las primeras 72 horas de una filtración de datos son claves para informar a la AEPD”, remarca López de Coca. Aunque, en este caso, cabría ver si la información personal a subasta corresponde a la misma filtración de 2021, y en el caso de que se diera, qué acciones se llevarán a cabo por parte del organismo regulador y de Glovo para subsanar la exhibición pública de los usuarios en la dark web.

Agencia Española de Protección de Datos / EFE

Agencia Española de Protección de Datos / EFE

Estafas, el siguiente paso

Pero el peligro de una filtración masiva de datos llega después, con el paso del tiempo, como se ha podido comprobar al ponerse a la venta información personal en esta página de la internet profunda. “Cuanta más información tengan mejor para ellos [los delincuentes], más fácil de engañar a una persona. Solo con el correo electrónico o con otro dato personal ya te pueden estafar”, recuerda el abogado especializado en protección de datos. De hecho, López de Coca remarca que con solo “pinchar en un enlace” que envíen por SMS o e-mail se les abre una puerta de acceso al ordenador o móvil, a partir del cual pueden entrar en todo tipo de archivos y aplicativos.

“Solo hace falta ver lo peligroso que puede ser enviar un DNI por whatsapp, teniendo en cuenta la facilidad de pedir préstamos por internet hoy por hoy”, sentencia. Aunque la polémica surge con la exposición de los datos personales recogidos por Glovo en la dark web. Por todo ello, hay que estar alerta, ya que el robo de información personal puede ser la previa de una estafa tipo ransomware. Es decir, tener que pagar un rescate como particular para poder acceder de nuevo a su sistema o archivos personales.