Shein es multada con $1.9 mill por ocultar la filtración de datos

La famosa tienda virtual de ropa y accesorios, Shein, posee aproximadamente 13.9 millones de usuarios en su app, un crecimiento acelerado que ha ido incrementando año tras año. Esto debido a su amplia variedad de productos, lugares de envío y, sobre todo, a los muy accesibles precios que son ofrecidos.

A raíz de esta gran cantidad de consumidores, los ojos de los ciberdelincuentes encontraron en Shein una buena oportunidad para aprovecharse de las vulnerabilidades de su plataforma. Es así como hace cuatro años, declararon haber sido víctimas de piratas cibernéticos que filtraron los datos de más de 6.42 millones de sus clientes, entre nombres, correos electrónicos y contraseñas encriptadas.

Según Julio Seminario, experto en ciberseguridad de Bitdefender, cuando una compañía sufre este tipo de ataques lo correcto sería informar a los usuarios sobre el riesgo. Sin embargo, Shein no alertó a la mayoría de ellas, ya que tras las investigaciones se supo que alrededor de 39 millones de cuentas habrían sido las afectadas.

¿Por qué se filtraron los datos de la plataforma Shein?

Las investigaciones correspondientes revelaron que la empresa matriz de Shein, Zoetop, habría mentido sobre la inexistencia de pruebas de que la información de las tarjetas de créditos se hubiera tomado de sus sistemas. Ya que, la empresa no se había percatado de la infracción cometida hasta que un procesador de pagos externos le informó sobre los datos infiltrados y datos de tarjetas robados.

Las causas de la vulnerabilidad de la plataforma fueron las siguientes:

• No salvaguardaron adecuadamente los datos de los clientes de la tienda, y del sitio hermano, Romwe, previo al ataque. Por ejemplo: Utilizó algoritmos débiles para contraseñas y configuró incorrectamente su sistema de pagos para guardar los datos de la tarjeta de crédito en un archivo sin formato.
• No restablecieron las contraseñas ni protegieron ninguna de las cuentas expuestas de sus clientes.
• Habrían minimizado el alcance del ataque hacia los consumidores.

¿Cómo evitar la filtración de datos de consumidores en las empresas?

En este sentido, el experto de Bitdefender recomienda que la encriptación de la base de datos debería ser implementada como medida básica de protección. Es así que, aunque el atacante acceda a los datos, este no podría leerlos al no tener la contraseña para descifrarlo.

Además, las organizaciones de cualquier tamaño deberían contar con especialistas en ciberseguridad enfocados en el análisis, gestión y respuesta frente amenazas. Si la organización no cuenta con un área de seguridad informática es conveniente contar con una solución de seguridad MDR, al proporcionar acceso bajo demanda a analistas de amenazas, investigadores y expertos en respuesta a incidentes de tiempo completo, y así respaldar la capacidad de una organización con poco personal para mitigar las amenazas cibernéticas.