Si el missatge emès a les botigues dissabte passat hagués estat una alerta d’incendi o un anunci de bomba, podria haver provocat el caos.

El pirateig que ha patit El Corte Inglés aquest dissabte ha tornat a portar el debat les obligacions que tenen les empreses en matèria de ciberseguretat. La sorpresa causada pel curiós missatge emès pel servei de megafonia de molts centres a Espanya no pot difuminar que hi hagi hagut un atac contra els grans magatzems.

“Si us plau, robin tot el que puguin, tot el que hi ha a la botiga és de franc“, va poder sentir-se. Davant el desconcert, alguns clients van preferir abandonar el recinte. Hi va haver més proclames, com «Llibertat Paco Sanz, José Mota xivato podrit.» Francisco Sanz és un condemnat per estafa que havia demanat donacions amb l’excusa que estava a punt de morir per la síndrome de Cowden.

Quina és la responsabilitat del proveïdor

Quina responsabilitat té la firma si l’atac ha estat contra un proveïdor seu, com, en aquest cas, el de la megafonia? Fonts jurídiques de l’entorn de la ciberseguretat assenyalen a Escudo Digital que les empreses que tenen coberts determinats serveis amb altres empreses tenen la responsabilitat de «garantir, supervisar o verificar que els seus proveïdors compleixen amb les mesures de seguretat que ells els van imposar en el moment de la contractació.»

«Si el proveïdor ha patit un incident, el que cal revisar és si aquest atac era realment inevitable o si ha estat una distracció o una negligència per part del proveïdor», afegeixen.

Un contracte entre dues parts

La investigació sobre el pirateig que va rebre la megafonia d’El Corte Inglés podrà aclarir les característiques de l’atac.«Caldrà verificar, en funció del contracte subscrit, quines eren les obligacions imposades al proveïdor pel que fa a les mesures de seguretat», ha apuntat.

En qualsevol cas, a El Corte Inglés li correspon la supervisió i auditoria d’aquestes mesures per comprovar que realment funcionaven. La legislació obliga la part contractant a garantir que els proveïdors compleixen amb els preceptes de seguretat mínims. Es tracta, aclareixen, d’una «obligació en la vigilància».

No hi ha hagut bretxa de dades

Aquest diari va poder conèixer que el pirateig no va afectar bretxes de seguretat ni han estat compromeses dades de clients o de l’empresa. «Ha estat un accés no consentit a un sistema informàtic propietat de El Corte Inglés, com és el seu servei de megafonia», indiquen. Però no es pot considerar una broma. Si el missatge emès hagués estat que hi havia un incendi o un anunci de bomba, el caos podria haver provocat una tragèdia. «Ara li toca a El Corte Inglés esbrinar com han pogut accedir a la megafonia», afirmen.

L’explotació de la vulnerabilitat del sistema ha d’estar ara en el focus. En no haver-hi bretxa d’informació, no hi ha responsabilitat legal ni mereixement de sanció. «Com que encara no està transposada a la legislació espanyola la directiva europea NIS2 —expliquen a aquest diari—, la norma que s’aplica, el Reglament General de Protecció de Dades només investiga i multa el robatori d’informació. Però tan bon punt estiguem al dia amb l’NIS2, l’organisme encarregat podrà sancionar les empreses que no compleixin la llei de seguretat». Ara mateix només és un avantprojecte de la Llei de Coordinació i Governança de la Ciberseguretat.

El Corte Inglés disposa d’una Política de Seguretat de la Informació, aprovada pel consell d’administració el 2020, actualitzada el novembre del 2023. A més, el grup disposa d’un centre d’operacions i ciberseguretat encarregat de detectar i respondre davant dels possibles riscs cibernètics.

Accessos a dades personals recents

A principis d’aquest mes de març, els clients de El Corte Inglés van rebre un correu electrònic de l’empresa en el qual s’informava que recentment un proveïdor extern havia patit «un accés no autoritzat a dades personals».

«L’incident es va identificar i es va esmenar immediatament a través dels nostres protocols de detecció i seguretat», assenyalava el correu electrònic, que afegia que es va requerir al proveïdor l’aplicació de mesures addicionals que previnguin aquest tipus d’incidents en el futur i que els fets ja havien estat posats en coneixement de les autoritats competents.

El juny de 2024 es va saber que El Corte Inglés havia patit una filtració de dades que va afectar al voltant de 27.000 clients. Un atacant va publicar un anunci al web fosc i va posar a la venda els registres, amb contrasenyes d’usuaris i clients, i informació d’accés a diferents portals de gestió. L’empresa va declarar que els seus sistemes no havien patit cap sostracció.