La filtración afectó a 33,7 millones de cuentas de Coupang y reveló fallas prolongadas en los controles de seguridad de la compañía, desencadenando investigaciones penales, sanciones potenciales y un escrutinio sin precedentes sobre la protección de datos en Corea del Sur.
La mayor plataforma de comercio electrónico de Corea del Sur, Coupang, reconoció en un comunicado durante este fin de semana una de las filtraciones de datos más grandes registradas en el país, que expuso información personal de 33,7 millones de usuarios. La compañía, conocida como “el Amazon surcoreano” y con más de 34 millones de usuarios activos, confirmó que el acceso no autorizado se prolongó por casi cinco meses antes de ser detectado el 18 de noviembre pasado.
El incidente marca un punto crítico en una serie de fallas de ciberseguridad que han golpeado a grandes corporaciones surcoreanas en el último año. La gravedad del caso llevó al gobierno de ese país a convocar una reunión de emergencia con autoridades del Ministerio de Ciencia y TIC, la Comisión de Protección de Información Personal, la policía y la Agencia de Seguridad de Internet de Corea. La investigación inicial reveló que el atacante explotó “una vulnerabilidad de autenticación” que permitió acceder a los sistemas sin pasar por los procesos habituales de login.
Los datos expuestos incluyen nombres, direcciones físicas, números telefónicos, correos electrónicos y parte del historial de compras. Coupang insistió en que la información de pago, credenciales de acceso y tarjetas de crédito permanecen protegidas. En paralelo informó que estaba en coordinación con las autoridades y habían iniciado el proceso de envío de alertas a los usuarios sobre el riesgo de estafas y comunicaciones fraudulentas que podrían intentar explotar tras la filtración.
El caso escaló aún más cuando medios surcoreanos reportaron que el ataque estaría vinculado a un ex empleado extranjero de la compañía, quien habría abandonado el país antes de que la brecha fuera descubierta. Aunque la policía investiga esta hipótesis, Coupang indicó que no puede confirmar los antecedentes mientras colaboran con las agencias estatales. La empresa aseguró que presentó la denuncia formal y que los accesos maliciosos parecen haber comenzado el 24 de junio desde servidores ubicados fuera del país.
La magnitud de la filtración llevo a que las editoriales de medios locales calificaron el incidente como “el peor en la historia de Corea”, resaltando que los mecanismos de protección interna fueron incapaces de detectar meses de actividad anómala. El propio gobierno reconoció “limitaciones estructurales” en las políticas de sanción, señalando que el sistema actual no ha sido suficiente para prevenir incidentes masivos.
El caso podría derivar en sanciones históricas para la compañía, especialmente si se confirma que hubo negligencia en la supervisión de accesos o en la actualización de controles internos. El precedente más cercano es la multa de 92 millones de dólares impuesta a SK Telecom, incidente que hemos informado en este blog y que afectó a 27 millones de usuarios, cuya principal consecuencia fue la mayor migración de clientes de la historia en el sector de las telecomunicaciones en Corea del Sur.
El gobierno anunció un periodo de tres meses de “vigilancia reforzada” para detectar movimientos de los datos filtrados en la internet pública y en la dark web. También llamó a los ciudadanos a desconfiar de mensajes o llamadas que utilicen términos como “compensación”, “reembolso” o “confirmación de daños”, ya que se estima que los intentos de phishing aumentarán significativamente tras la brecha.
La filtración de Coupang afectó a casi el 65% de la población del país.