La cadena alemana de supermercados Lidl confirmó una brecha de datos que afectó a clientes de su tienda online en Bélgica, Países Bajos y en la propia Alemania, lo anterior después de que un proveedor externo de servicios tecnológicos sufriera un incidente de seguridad. La empresa informó a los clientes mediante correos electrónicos y publicó avisos en sus portales de soporte de los tres países, señalando que personas no autorizadas lograron acceder temporalmente a un archivo almacenado por separado que contenía información de clientes.
Según la información publicada por la compañía para sus clientes en Bélgica y Países Bajos, los datos expuestos corresponden a tratamientos, nombres y apellidos, números de teléfono, direcciones de correo electrónico, fechas de nacimiento y números de cliente. Lidl indicó que el sistema de la tienda online no fue comprometido durante el incidente. En su comunicación oficial señaló que “a pesar de los altos estándares de seguridad informática, personas no identificadas pudieron acceder brevemente a un archivo almacenado por separado que contenía datos de clientes y robar parte de ellos. El sistema de la tienda online en sí no se vio afectado”
La compañía explicó que, hasta el momento, no dispone de evidencia concreta de un uso indebido de la información obtenida durante el incidente. Sin embargo, advirtió que los datos robados podrían ser utilizados para campañas de fraude dirigidas. En este contexto, comunicó a los clientes que “aunque actualmente no tenemos pruebas concretas de un uso indebido de datos, le advertimos, como medida de precaución, sobre posibles intentos de phishing o robo de identidad”.
Respecto del alcance del incidente, Lidl indicó que la investigación continúa y que aún no puede descartar completamente que la información comprometida incluya contraseñas, direcciones de facturación o envío, datos bancarios u otra información de pago. No obstante, otros comunicados posteriores publicados por la empresa y recogidos por distintos medios señalan que el sistema de cuentas de clientes no fue comprometido y que no existen indicios de acceso a la infraestructura principal de la tienda online.
La empresa informó además que el proveedor afectado restauró las medidas de seguridad de sus sistemas, presentó una denuncia ante la policía y contrató especialistas forenses para investigar el incidente. Paralelamente, Lidl notificó la brecha a las autoridades competentes de protección de datos, entre ellas la Autoridad de Protección de Datos de los Países Bajos y la autoridad competente en Bélgica.
Como medida preventiva, la cadena recomendó desconfiar de mensajes inesperados relacionados con pedidos, entregas o promociones y recordó a los clientes que “estén atento a los mensajes inesperados. Verifique siempre la autenticidad del remitente. Si nota algo inusual, no divulgue ningún dato ni haga clic en ningún enlace desconocido”.


