El minorista de cosméticos británicos Lush que opera en 49 países en todo el mundo y posee instalaciones de producción en Europa, Japón y Australia, informó que en los últimos días se encontraba respondiendo a un incidente de seguridad cibernética.
En una breve declaración en su sitio web se puede leer que la empresa estaba trabajando con especialistas forenses de tecnología de la información externos “para llevar a cabo una investigación exhaustiva”.
En el mismo comunicado la empresa señala que “la investigación se encuentra en una etapa inicial, pero hemos tomado medidas inmediatas para proteger y examinar todos los sistemas con el fin de contener el incidente y limitar el impacto en nuestras operaciones”, y enfatizó que la compañía se tomaba la seguridad cibernética “excepcionalmente en serio” y dieron cuenta que ya habían informado a las autoridades pertinentes sobre el incidente.
La Oficina del Comisionado de Información del Reino Unido (ICO) exige que las empresas informen sobre los incidentes de ciberseguridad en un plazo inferior a las 72 horas desde que han tenido conocimiento del mismo.
Pese a la información Lush no informó públicamente la naturaleza del incidente, pero varios especialistas especulan que podría tratarse de una brecha de seguridad de información o un ransomware. Tampoco hay claridad sobre los sistemas involucrados o la interrupción de servicios.
El año pasado, ICO y el Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) comentaron en un blog conjunto que existe preocupación de que las víctimas de ransomware mantuvieran los incidentes ocultos tanto a las autoridades como a los reguladores.
Aunque no es habitual que las empresas dedicadas a los cosméticos sean un blanco de ciberataques, esta es la segunda entidad de renombre de este rubro que se ha visto afectada por un ciberataque en los últimos meses. A mediados del año recién pasado, la empresa Estee Lauder fue víctima de un ransomware que interrumpió sus operaciones y robó datos de sus sistemas.