Tendam admite que el ciberataque que sufrió pone en peligro datos como el DNI de los miembros de sus clubes de fidelidad

El grupo Tendam, la compañía textil detrás de cadenas como Cortefiel, Women’secret o Springfield, ha dado este martes más detalles sobre el ciberataque que sufrió el pasado 5 de septiembre. Mediante una comunicación dirigida a sus clientes, la empresa ha advertido a los miembros del Club Cortefiel, Cub WOW y del Club Springfield de la posibilidad de que los ciberatacantes tengan en su poder datos como sus nombres y apellidos, DNI, dirección postal, correo electrónico o el número de teléfono. Con todo, Tendam descarta que otra información todavía más delicada, como la tarjeta de crédito o las contraseñas, se haya visto comprometida.

“Hemos podido comprobar que el incidente, en ningún caso, ha afectado a datos personales sensibles, financieros (tarjeta de crédito u otros medios de pago), contraseñas u otros datos que puedan comprometer la seguridad de nuestros socios”, dice el documento. “Sin embargo, sí supuso el acceso no autorizado a ciertos datos personales de parte de los miembros de nuestros clubes de fidelidad y podría, por tanto, haber afectado a alguno de los datos personales que usted nos facilitó para la gestión de su pertenencia a Club Cortefiel, Club WOW o Club Springfield”, admite el grupo.

La propia Tendam reconoció haber sufrido este ciberataque cuatro días después de haberse perpetrado. El portal especializado HackManack informó de que se vieron expuestos 720 gigas de información y que los atacantes exigían 800.000 euros a la compañía a cambio de no darles uso. En el nuevo comunicado, Tendam sostiene que el grupo adoptó de forma inmediata “las medidas de seguridad necesarias y procedió a reportar el incidente a las autoridades competentes, incluida la Agencia Española de Protección de Datos”.

Debido a la filtración, la empresa pide a sus clientes miembros de los clubes de fidelidad que extremen las precauciones. “Ante esta situación, le pedimos que esté atento a comunicaciones atípicas o sospechosas que tengan relación con sus datos personales y desconfíe de correos electrónicos, llamadas, mensajes SMS o WhastApp cuyo remitente no tenga identificado. Nunca dé sus claves de acceso o datos bancarios y tenga especial cuidado con los enlaces en mensajes de correo electrónico, WhatsApp o SMS”, aconsejan.

Con frecuencia, cuando los ciberatacantes acceden a los datos de las empresas, además de pedir rescates, el principal uso que les dan es la venta de los mismos a otros ciberdelincuentes, ya que ello les permite obtener beneficios de forma rápida. Pero además del riesgo de sufrir intentos de estafa, ya sea a manos de los atacantes originales o de sus compradores, está el de ser víctima de una suplantación de identidad. La legislación obliga a las empresas a comunicar en menos de 72 horas a la Agencia Española de Protección de Datos si han sufrido ataques que han comprometido información de sus clientes. La AEPD evalúa la situación, y si considera que es lo suficientemente grave, obliga a la empresa o al organismo víctima del ciberataque a mandar una carta o un correo para informar a los afectados directos.

Con motivo de la oleada de ciberataques del pasado verano, los expertos coinciden a la hora de aconsejar presentar una denuncia ante la policía en el supuesto de, como en este caso, recibir directamente una advertencia de la empresa afectada. “En cuanto te lo notifiquen, lo primero que tienes que hacer es poner una denuncia en la policía porque eso te servirá para un montón de cosas. Si alguien contrata con tus credenciales algún tipo de servicio, eso te servirá luego para decir que no es válido”, recomendaba Paloma Arribas, socia y directora del departamento de protección de datos de la firma de abogados Baylos.

El departamento de comunicación de Tendam no ha contestado de forma inmediata a la pregunta de si hay más novedades en relación con el ciberataque.