Cuando el teletrabajo se pasó de la raya: un exempleado sustrajo los datos de 37 millones de surcoreanos sin levantarse del sofá.

La policía de Seúl investiga las circunstancias de la mayor filtración de datos en el comercio electrónico surcoreano: según la investigación, el sospechoso de extraer la base de clientes de Coupang trabajó en la empresa solo 2 años y llegó a tener acceso a un sistema relacionado con la gestión de claves y accesos. Se trata de un extrabajador: un desarrollador de 43 años, ciudadano chino, que se incorporó a Coupang en noviembre de 2022, trabajó en la oficina de Seúl y dejó la compañía a finales de 2024.

Coupang informó previamente informó sobre la compromisión de alrededor de 33,7 millones de cuentas de clientes; en algunas publicaciones aparece por separado la cifra de "unos 37,7 millones" de registros afectados, lo que subraya la confusión en torno a la magnitud real del incidente. En los datos filtrados, según medios y autoridades, había nombres, correos electrónicos, números de teléfono, direcciones de entrega y fragmentos del historial de pedidos; además, causó especial inquietud la información de que a algunos usuarios les podrían haber quedado comprometidos los códigos de acceso a los accesos y las zonas comunes de los edificios.

La cuestión clave para la investigación es cómo exactamente el sospechoso obtuvo y mantuvo el acceso a sistemas internos críticos y por qué no se detectó a tiempo. Según Reuters, el ataque podría haber comenzado a través de servidores extranjeros el 24 de junio y pasar desapercibido hasta mediados de noviembre, y uno de los factores pudo ser una clave o cuenta "activa" que permaneció operativa tras la salida del empleado, un escenario típico de amenaza interna.

Debido a la magnitud de la filtración, la policía ha registrado la sede de Coupang en el distrito de Songpa, en la parte sur de Seúl, durante varios días, incautando documentos internos, diarios de trabajo y registros del sistema que deberían mostrar la cadena de acceso: direcciones IP, credenciales, historial de consultas a plataformas de seguridad y servicios relacionados. Paralelamente, las autoridades dejan claro que si en la investigación aparecen indicios de negligencia o incumplimiento de las normas de protección de datos personales, el estatus de "víctima" puede convertirse rápidamente en el de "investigado", con preguntas dirigidas a empleados responsables y a directivos concretos.

La presión política sobre Coupang aumenta. En medio del escándalo, según Reuters, el director ejecutivo Park Dae-jun presentó su renuncia, asumiendo la responsabilidad por la falla en la protección de datos, y en el ámbito público se escuchan demandas para endurecer las sanciones a las empresas por la protección insuficiente de la información personal.

Otro problema son los ataques "secundarios": en Corea del Sur se registra un aumento del phishing que se hace pasar por mensajes de Coupang; los estafadores prometen compensaciones, asustan con "problemas de entrega" y atraen a páginas falsas, aprovechando que tras filtraciones similares la gente espera correos y notificaciones del servicio.