Cecotec avisa a sus clientes de un hackeo... que sufrió hace dos años

Cecotec, la empresa valenciana de electrodomésticos, ha avisado esta semana a sus clientes de una brecha de seguridad que comprometió datos personales de casi un millar de usuarios. Lo llamativo del caso no es tanto el hackeo como el hecho de que ocurrió en abril de 2023 y han tardado dos años en revelarlo, saltándose a la torera la normativa europea que exige notificar estos incidentes en 72 horas para proteger a quienes se han visto afectados.

Como cuenta ADSL Zone, el hackeo se produjo en una vieja tienda online de Cecotec que llevaba sin usarse desde 2020, pero que guardaba información sensible de 933 clientes. Entre los datos robados figuran nombres completos, DNI, direcciones postales y números de teléfono, aunque la empresa jura y perjura que no se vieron afectados datos bancarios ni contraseñas.

Datos expuestos durante dos años sin que los usuarios lo supieran

El ataque apenas afectó a un 0,1% de todos los clientes de Cecotec, pero lo grave es que tardaron dos años en dar la voz de alarma, dejando a los afectados a ciegas frente al riesgo durante 24 meses. Una vez descubierto el problema, la empresa reaccionó desactivando la plataforma afectada y quitando permisos de acceso, según cuenta en su comunicado. También montó un Comité de Seguridad interno y puso en marcha simulacros de phishing para reforzar sus defensas, algo esencial cuando los ataques mediante apps espía son cada vez más peligrosos.

No es la primera vez que la marca de los Conga tiene problemas de seguridad. En 2020, los hackers del congreso No cON Name pillaron a las aspiradoras de la marca guardando mapas detallados de las viviendas en un servidor con contraseñas de pacotilla. Aunque aquella vez la empresa respondió en 24 horas y juró que no se habían filtrado datos personales, el incidente ya olía a chamusquina en sus sistemas de protección.

Según los expertos, notificar estas brechas con tanto retraso multiplica los peligros para las víctimas, ya que los datos robados pueden haber servido para campañas de suplantación de identidad durante todo este tiempo sin que nadie pudiera ponerse a salvo. La metedura de pata de Cecotec recuerda a otros casos similares de empresas tecnológicas que han tenido que echar el cierre tras sufrir ataques devastadores, aunque esta vez parece que el golpe ha sido más limitado.

Cecotec asegura que ya ha puesto el caso en conocimiento de la Agencia Española de Protección de Datos y ha colocado un formulario en su web para que los afectados puedan presentar reclamaciones. Mientras tanto, las redes sociales ya bullen con comentarios críticos hacia la política de "mejor tarde que nunca" de la compañía, cuestionando si realmente han cumplido con todas sus obligaciones legales.

Lo de Cecotec nos recuerda lo crucial que es revisar la seguridad en las empresas que manejan nuestros datos y mantenerse alerta ante posibles timos. Si eres cliente de la marca valenciana, conviene que estés con los ojos bien abiertos ante correos, SMS o llamadas sospechosas durante los próximos meses, porque tus datos podrían estar circulando por ahí y acabar siendo la carnaza perfecta para estafadores que quieran hacer su agosto a tu costa.