La Comisión de Protección de Información Personal de Corea del Sur impuso una multa histórica de US$409 millones a Coupang tras concluir que deficiencias en sus controles de seguridad permitieron la exposición de datos personales de más de 37 millones de personas. La investigación también detectó prácticas de recopilación de información sin consentimiento y otras infracciones regulatorias.
La Comisión de Protección de Información Personal de Corea del Sur (PIPC) anunció recientemente una sanción de 624.700 millones de wones, equivalentes a aproximadamente US$409 millones de dólares, contra la plataforma de comercio electrónico Coupang, tras concluir una investigación sobre una filtración masiva de datos que afectó a más de 37 millones de personas. La decisión constituye la mayor multa impuesta por el organismo regulador en materia de protección de datos personales en ese país.
De acuerdo con los hallazgos de la investigación, la exposición de información se produjo debido a deficiencias en las medidas básicas de seguridad implementadas por la empresa. El regulador determinó que la protección de los sistemas era insuficiente, especialmente en la gestión de claves de autenticación y en los mecanismos de control de acceso. La PIPC señaló que “se filtró información personal de aproximadamente 37,5 millones de personas debido a sistemas de gestión de seguridad básicos inadecuados, incluyendo negligencia en la gestión de claves de firma de autenticación y control de acceso”.
La investigación estableció que entre los afectados se encontraban más de 33 millones de usuarios registrados de la plataforma y más de 4 millones de personas que no eran clientes directos, pero cuyos datos habían sido almacenados como destinatarios de envíos realizados por terceros. Entre los datos comprometidos figuraban nombres, direcciones, números telefónicos, correos electrónicos e historiales de pedidos.
Las autoridades concluyeron que el incidente estuvo vinculado a un ex empleado del área de tecnologías de la información que habría sustraído una clave de seguridad antes de abandonar la compañía. Según la investigación, el acceso indebido se extendió durante varios meses y permitió la recopilación sistemática de información de clientes. El regulador también indicó que la empresa no detectó oportunamente actividades anómalas en sus sistemas y solo tomó conocimiento del incidente tras recibir consultas relacionadas con mensajes de extorsión enviados a usuarios.
Además de la filtración, la PIPC identificó otras infracciones regulatorias. Entre ellas figura la recopilación de información sobre actividad en línea de aproximadamente 11,2 millones de usuarios mediante el programa de afiliados Coupang Partners, sin consentimiento de los afectados. Esta práctica derivó en una sanción adicional superior a 201 mil millones de wones.
Durante la presentación de los resultados, la presidenta de la autoridad reguladora, Song Kyung-hee, afirmó que “este incidente ocurrió debido a la falta de medidas y sistemas de seguridad de Coupang, no por una sofisticada acción de piratería”. La funcionaria también sostuvo que la arquitectura de seguridad de la empresa permitía que un atacante pudiera acceder a información de clientes incluso después de haber abandonado la organización.
La autoridad regulatoria también indicó que la empresa no cumplió al notificar a los afectados en el plazo de 72 horas establecido en las normas de ese país, indicando que Coupang “retrasó las notificaciones de la violación de seguridad” y que, como resultado, “esas personas desconocían la violación y se vieron privadas de la oportunidad de tomar medidas para prevenir daños secundarios”.
Aunque la compañía reconoció errores y se comprometió a reforzar sus marcos de protección de datos, de todas maneras, Coupang manifestó su desacuerdo con parte de las conclusiones y señaló que “lamentamos que nuestras medidas proactivas para prevenir daños secundarios por el incidente de filtración de datos del año pasado, así como nuestras explicaciones basadas en hechos claros, no hayan sido reflejadas suficientemente”. La empresa indicó además que evaluará acciones legales una vez que reciba la resolución formal.
La multa representa casi la totalidad de las ganancias operativas de Coupang del año pasado, las que ascendieron a 721.100 millones de wones.