La compañía estima un impacto económico de 20 millones de euros entre diciembre del 2024 y marzo pasado, aunque asegura que no se pagó rescate y frustró una filtración de datos personales tras la primera violación de seguridad.
Cuatro meses después de un ciberataque que afectó sus operaciones comerciales justo antes del Black Friday, el Grupo Fourlis -operador de IKEA en Grecia, Chipre, Rumanía y Bulgaria- confirmó que las pérdidas ocasionadas por un incidente en diciembre pasado ascienden a 20 millones de euros (22,8 millones de dólares). El ataque impactó principalmente a las tiendas IKEA, con efectos que se extendieron entre diciembre de 2024 y febrero de 2025.
“El incidente provocó interrupciones temporales en la reposición de una tienda, afectando principalmente al segmento de Hogar (tiendas IKEA) y a las operaciones de comercio electrónico entre diciembre de 2024 y febrero de 2025”, detalló la empresa en un comunicado de prensa publicado esta semana.
Si bien el Grupo Fourlis también gestiona las marcas Intersport, Foot Locker y Holland & Barrett en la región, la mayor afectación se concentró en IKEA. En declaraciones a medios de Grecia, el director general Dimitris Valachis señaló que el impacto en ventas fue de aproximadamente 15 millones de euros en 2024, y otros 5 millones proyectados para 2025.
El incidente de seguridad se conoció públicamente el 3 de diciembre de 2024, cuando la empresa atribuyó los problemas técnicos en sus tiendas en línea a una “acción externa maliciosa”. Hasta ahora, ningún grupo de ransomware ha reclamado la autoría del ataque, lo que podría deberse a que no lograron extraer datos sensibles o que aún esperan una resolución privada con la víctima.
Valachis aseguró que no se pagó ningún rescate a los ciberdelincuentes, y que los sistemas afectados fueron restaurados con el apoyo de expertos externos en ciberseguridad. Además, Fourlis afirmó que logró frustrar varios intentos de ataque posteriores tras la primera brecha.
En cuanto a la seguridad de la información, la compañía comunicó que no existen pruebas de que se hayan robado o filtrado datos personales. “La indisponibilidad temporal de algunos datos afectados por el incidente fue restablecida casi de inmediato, mientras que el informe técnico (forense) no demostró la fuga de datos personales”, indica el comunicado.
De acuerdo con lo estipulado por las leyes de cada país, las autoridades de protección de datos de Grecia, Chipre, Rumanía y Bulgaria fueron notificadas sobre el ataque oportunamente.