Brecha de datos de Shopify

Introducción

El día 30 de diciembre de 2020 Platanomelón fue notificado por parte de su proveedor de servicios Shopify de una brecha de datos interna, llevada a cabo por dos exempleados deshonestos de Shopify.

Si recibiste un e-mail informándote de estos hechos es probable que tus datos personales relacionados con tu pedido formen parte de los datos extraídos por dichos exempleados.

A continuación te dejamos una serie de preguntas y respuestas frecuentes que podrías tener en relación a este incidente, así como un resumen de la incidencia al final de esta página.

Si no encuentras respuesta a tus preguntas en esta página, por favor contacta con nosotrxs escribiendo un e-mail a gdpr@platanomelon.com, donde trabajaremos para brindarte la tranquilidad que mereces. Te informamos de que también tienes a tu disposición la Línea de Ayuda en Ciberseguridad de INCIBE en el número gratuito 017.

 

Índice de preguntas y respuestas frecuentes 

  1. ¿Quién es Shopify?
  2. ¿Qué es una filtración de datos?
  3. ¿Qué ha sucedido? 
  4. ¿Qué datos se han visto afectados?
  5. ¿Es seguro comprar en Platanomelón?
  6. ¿Debo cambiar mi/s contraseña/s?
  7. ¿Debo avisar a mi banco o bloquear mi/s tarjeta/s?
  8. ¿Debo realizar alguna acción como usuarix afectadx?
  9. ¿Debo tomar precauciones a raíz de esto?
  10. ¿Qué medidas se han tomado?
  11. ¿Se ha solucionado la brecha de seguridad?
  12. ¿Por qué no habéis avisado antes?
  13. ¿Han sido utilizados los datos comprometidos?
  14. ¿Qué uso le pueden dar a mis datos robados?
  15. ¿Ha sido algo exclusivo de Platanomelón?
  16. ¿Pueden acceder a mi correo electrónico, cuentas o dispositivos?
  17. ¿Puedo solicitar que se supriman mis datos?
  18. Resumen de la indicencia

 

1. ¿Quién es Shopify?

Shopify es una empresa canadiense fundada en 2006 y una de las plataformas líderes en comercio electrónico de todo el mundo. Actualmente existen más de un millón de tiendas basadas en Shopify, entre las que se encuentran marcas de renombre de diferentes sectores que, como la nuestra, pueden ofrecer sus productos, procesar los pagos y gestionar el inventario en una única plataforma.

Los estándares de seguridad de Shopify son unos de los más altos de la industria del comercio en línea, cumpliendo con las directrices PCI DSS de nivel 1, utilizando cifrados SSL de 256-bits y aplicando la normativa de protección de datos vigente (RGPD).

Este incidente no está relacionado con la seguridad o los sistemas técnicos de Shopify, ya que en ningún momento su plataforma ha sido comprometida a nivel técnico, sino que ha sido debido a la acción malintencionada de dos de sus empleadxs, algo extremadamente complejo de gestionar.


2. ¿Qué es una filtración de datos?

Una filtración de datos es un incidente que afecta a datos de carácter personal. Este incidente puede tener un origen accidental o intencionado y además puede afectar a datos tratados digitalmente o en formato papel. En general, se trata de un suceso que ocasiona destrucción, pérdida, alteración, comunicación o acceso no autorizado a datos personales.

Existen distintos tipos de filtraciones de datos, algunas relacionadas con la seguridad de los sistemas que almacenan esos datos, otras relacionadas con errores humanos o malas intenciones de empleadxs, etc.

También cabe diferenciar entre brechas de seguridad internas y externas. Las internas son aquellas que se han producido dentro de la empresa responsable o encargada del tratamiento de los datos, y las externas se producen en entornos ajenos a la empresa responsable o encargada del tratamiento de los datos.

Que se hayan filtrado los datos no significa que dichos datos sean accesibles para cualquier persona, digamos por ejemplo, buscando en Google. Estos datos no suelen hacerse públicos, sino que pasan a formar parte de otras bases de datos más grandes que luego se distribuyen o venden con fines determinados. Puedes saber más acerca de cómo se suelen utilizar los datos filtrados en la pregunta 14.

En 2020, la Agencia Española de Protección de Datos ha recibido, de media, más de 100 notificaciones de filtraciones de datos al mes en España. Puedes consultar el informe de la AEPD de Diciembre de 2020 haciendo click aquí para más información.


3. ¿Qué ha sucedido? 

En abril y junio de 2020 dos empleadxs de Shopify accedieron de forma no autorizada a las bases de datos de más de 200 comercios y extrajeron datos transaccionales de los pedidos de dichos comercios. En esas bases de datos se almacenaba información relacionada con los pedidos realizados por lxs clientxs de dichos comercios en distintas épocas.

El 22 de septiembre de 2020 Shopify hizo un comunicado oficial (comunicado en inglés), donde informaba de lo sucedido. Shopify indicó que todos los comercios afectados habían sido contactados y Platanomelón no recibió ninguna notificación al respecto en ese momento, ya que según sus primeras informaciones no nos había afectado.

Sin embargo, en el marco de la investigación interna iniciada por Shopify y que hoy en día sigue en curso, el día 28 de diciembre de 2020 descubrieron que estxs dos empleadxs también accedieron a los datos relacionados con pedidos de Platanomelón.

Se nos notificaron estos hechos el 30 de diciembre de 2020 y, aunque la investigación sigue en curso, decidimos informar al día siguiente a la Agencia Española de Protección de Datos (AEPD). Así pues, sin dilación alguna, el 31 de diciembre de 2020 notificamos a la AEPD lo sucedido cumpliendo con el plazo de 72 horas previsto en la normativa para notificar a la autoridad de control competente, es decir, la AEPD.

En Platanomelón siempre nos hemos comprometido a proteger la seguridad de la información y nos sentimos profundamente decepcionadxs al saber que el incidente de Shopify ha afectado a algunxs de nuestrxs clientes. Shopify ha informado del incidente a las autoridades internacionales. También se ha iniciado una investigación con el FBI de Estados Unidos, y desde aquí trabajamos con las autoridades competentes en la investigación de lo ocurrido. Además, y esto es importante, se ha procedido al decomiso de los equipos informáticos de estxs dos exempleadxs de Shopify por lo que, supuestamente, los datos afectados ya están a buen recaudo.

Reconocemos la importancia de proteger la privacidad y seguridad de la información de nuestrxs clientes y continuamos trabajando diligentemente con Shopify para obtener información adicional sobre este incidente.


4. ¿Qué datos se han visto afectados?

Los datos extraídos por lxs dos exempleadxs de Shopify incluyen información relacionada con los pedidos de nuestro comercio, específicamente:

  • Nombre y apellidos
  • Correo electrónico
  • Teléfono
  • Dirección postal de envío*
  • Dirección postal de facturación (en caso de ser distinta a la de envío)
  • Contenidos del pedido (nombre del producto, precio, cantidad…)

Los datos relacionados con el método de pago NO se han visto afectados. Esto incluye, entre otros, números de tarjeta de débito/crédito, números de cuenta bancaria, etc. Tampoco se han visto afectadas las contraseñas de acceso a la cuenta de usuarix de Platanomelón ni la del correo electrónico con el que hiciste el pedido. Shopify no almacena este tipo de datos de extrema sensibilidad en sus sistemas por seguridad, ni nosotrxs tampoco.

*En algunos casos el DNI/NIE facilitado por lxs clientes dentro de la propia dirección de envío también estaría afectado. Esas personas han recibido con una notificación adicional al respecto informando de ello.


5. ¿Es seguro comprar en Platanomelón?

Sí, es totalmente seguro.

Los estándares de seguridad de Shopify son unos de los más altos de la industria del comercio, y desde Platanomelón se cumplen todas las directrices y requisitos de seguridad en relación a tus datos personales marcados por la Agencia Española de Protección de Datos (AEPD), el Reglamento General de Protección de Datos (RGPD) y la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDgdd).

Esto incluye las directrices PCI DSS de nivel 1, utilizando cifrados SSL de 256-bits y aplicando la normativa de protección de datos vigente (RGPD y LOPDgdd).


6. ¿Debo cambiar mi/s contraseña/s?

No. Este incidente no incluye datos relacionados con tu/s contraseña/s. Shopify no almacena este tipo de datos de extrema sensibilidad en sus sistemas por seguridad, ni nosotrxs tampoco.

Aun así, nunca está de más conocer y aplicar unas buenas prácticas en relación con tu seguridad, por lo que puedes aprovechar este desafortunado incidente para renovar tus contraseñas. Creemos que este artículo de la AEPD podría ser de tu interés.

Recuerda: nosotrxs nunca te solicitaremos por correo electrónico información acerca de tus contraseñas. Si recibes algún correo en nombre de Platanomelón y tienes dudas sobre su legitimidad, por favor, escríbenos al correo gdpr@platanomelon.com adjuntando una copia del correo electrónico y de su remitente.


7. ¿Debo avisar a mi banco o bloquear mi/s tarjeta/s?

No. Este incidente no incluye datos relacionados con tu/s contraseña/s, tarjetas de débito/crédito, cuentas bancarias u otra información financiera. Por seguridad, Shopify no almacena este tipo de datos de extrema sensibilidad en sus sistemas, ni nosotrxs tampoco.

Aun así, nunca está de más conocer y aplicar unas buenas prácticas en relación a las compras por internet, por eso creemos que esta guía de la AEPD podría ser de tu interés.

Recuerda: nosotrxs nunca te solicitaremos información de carácter financiero por ningún medio, como numeraciones de tarjetas o cuentas bancarias. Si recibes algún correo en nombre de Platanomelón y tienes dudas sobre su legitimidad, por favor, escríbenos al correo gdpr@platanomelon.com adjuntando una copia del correo electrónico y de su remitente.

 

8. ¿Debo realizar alguna acción como usuarix afectadx?

No, no tienes que hacer nada por tu parte. Por desgracia las brechas de datos son bastante habituales hoy en día, pero muchas de ellas no llegan a conocerse ya que muchas empresas optan por no comunicarlo a lxs afectadxs.

Te recomendamos que consultes esta página web, donde introduciendo únicamente tu correo electrónico podrás comprobar si tus datos ya han sido susceptibles de alguna otra brecha de seguridad en el pasado, algo por desgracia bastante habitual hoy en día. Ten en cuenta que en esta página únicamente se muestran datos de filtraciones públicas. A día de hoy, no hay indicios para pensar que los datos extraídos en este incidente hayan sido publicados.

Ten en cuenta que la AEPD recibió, de media, más de 100 notificaciones de brechas de seguridad al mes en el año 2020. Puedes consultar el informe de la AEPD de Diciembre de 2020 haciendo click aquí para más información.

Por nuestra parte hemos querido ser totalmente transparentes contigo y comunicarte toda la información que nos ha hecho llegar Shopify al respecto.

 

9. ¿Debo tomar precauciones a raíz de esto?

Siempre es recomendable tomar las medidas habituales para la navegación por internet.

A continuación, te indicamos algunos consejos fundamentales para proteger tu privacidad y tus datos personales en internet, aunque no tengan relación con este incidente:

  • Ten siempre cuidado con la información que compartes en internet.
  • Gestiona correctamente tus perfiles en redes sociales y la información que en ellos compartes.
  • Controla la información almacenada en tus dispositivos y sus aplicaciones.
  • Crea contraseñas seguras (mayúsculas, minúsculas, números y signos de puntuación) que no sean identificables contigo.
  • Ten especial cuidado al acceder desde redes wifi abiertas o públicas.
  • Evita compartir información sensible por correo electrónico.
  • Busca el certificado SSL en la URL de la web. Si no tiene la “s” en el “https://”, es decir, aparece como “http://” la web podría no ser segura.

De todas formas, te animamos a echar un vistazo a esta guía de la AEPD sobre privacidad y seguridad en internet, ya que nunca está de más repasar estas buenas prácticas.

Recuerda: nosotrxs nunca te solicitaremos por correo electrónico información sensible. Si recibes algún correo en nombre de Platanomelón y tienes dudas sobre su legitimidad, por favor, escríbenos al correo gdpr@platanomelon.com adjuntando una copia del correo electrónico y de su remitente.

Por otro lado, te informamos que también tienes a tu disposición la Línea de Ayuda en Ciberseguridad del Instituto Nacional de Ciberseguridad (INCIBE) en el número 017. Este teléfono es un servicio gratuito y confidencial disponible los 365 días del año de 9:00 a 21:00.


10. ¿Qué medidas se han tomado?

Teniendo en cuenta que la filtración de datos se ha producido fuera de nuestro ámbito de control, es decir, ha afectado a un proveedor externo actuando en calidad de encargado del tratamiento (Shopify), las medidas que nosotrxs hemos tomado son las indicadas en el Reglamento General de Protección de Datos (RGPD). Aun así, también hemos trabajado internamente en reforzar las medidas de control y acceso a nivel técnico y organizativo.

Por nuestra parte, hemos procedido a notificar el incidente a la Agencia Española de Protección de Datos (AEPD) en los plazos establecidos (menos de 72 h) y hemos registrado y documentado internamente la incidencia. Así mismo, y mediante este email, hemos procedido también a notificar lo sucedido a las personas a quienes ha afectado la brecha.

La empresa encargada del tratamiento de los datos responsable de la filtración, Shopify, ha tomado una serie de medidas correctoras, detalladas a continuación:

  1. Contratar asesoramiento especializado.
  2. Analizar los riesgos del incidente registrándolo y documentándolo internamente.
  3. Notificar el incidente a la Agencia Española de Protección de Datos (AEPD) en los plazos establecidos (menos de 72 h).
  4. Enviar este comunicado a las personas afectadas.
  5. Revisar las políticas corporativas por si hubiera algo que actualizar.

Según lo informado por parte de Shopify, la investigación sigue en curso. No descartamos volver a ponernos en contacto contigo en el caso de que aparezcan nuevas informaciones acerca de este incidente que te puedan afectar.


11. ¿Se ha solucionado la brecha de seguridad?

Sí. Tras el incidente, Shopify ha tomado todas las medidas técnicas y organizativas necesarias para reforzar los controles de acceso de sus empleadxs y poder garantizar así que estos hechos no vuelvan a suceder en el futuro.

 

12. ¿Por qué no habéis avisado antes?

La brecha tuvo lugar en Junio de 2020, hace más de 6 meses. En su primera comunicación oficial sobre el asunto, Shopify notificó a los más de 200 comercios afectados. En ese momento nosotrxs no fuimos informadxs ya que no había indicios de que el incidente nos había llegado a afectar.

A raíz de la investigación interna que Shopify puso en marcha junto con el FBI y otras agencias internacionales, se han ido descubriendo otros comercios afectados, entre ellos, el nuestro.

Así pues, Shopify nos informó el día 30 de diciembre de 2020, que el día 28 del mismo mes detectaron que la brecha también nos afectaba a nosotrxs.

Al día siguiente de dicha notificación notificamos a la Agencia Española de Protección de Datos (AEPD) acerca de lo sucedido. Desde entonces hasta ahora, hemos seguido colaborando con Shopify analizando el alcance de la brecha de datos, identificando a todas las personas afectadas y los datos comprometidos, preparando toda la documentación necesaria para enviar la notificación a lxs afectadxs, y preparando técnicamente los sistemas de envío masivo de e-mail para poder asegurar el máximo alcance y entregabilidad posible.

Lamentablemente no hemos podido avisar con anterioridad ya que no disponíamos de dicha información hasta que Shopify nos lo comunicó. Eso sí, una vez fuimos alertados hemos puesto todos los medios necesarios para poder notificar a los afectados sin ninguna dilación indebida, tal y como exige el Reglamento General de Protección de Datos (RGPD).

 

13. ¿Han sido utilizados los datos comprometidos?

Hasta la fecha no hay evidencia alguna de que los datos comprometidos se hayan filtrado a terceros o se hayan hecho públicos de ninguna forma. Tampoco hay evidencia de que hayan sido utilizados con algún propósito fraudulento. Shopify nos ha informado de que no se han detectado, ni ahora ni en el pasado, mayores consecuencias para las personas afectadas.

Recuerda que estos hechos se produjeron en junio de 2020, hace ya más de 6 meses, con lo que nada hace pensar que vayan a ser utilizados ahora si no han sido utilizados hasta la fecha, más tras la confiscación de los equipos informáticos de lxs exempleadxs.

Según lo que ha informado Shopify, la investigación sigue en curso y no descartamos volver a ponernos en contacto contigo en el caso de que aparezcan nuevas informaciones acerca de este incidente que te puedan afectar.

 

14. ¿Qué uso le pueden dar a mis datos robados?

Al no contener información financiera ni contraseñas (ya que nunca almacenamos esta información tan sensible) consideramos que el uso que los exempleados de Shopify puedan darle a los datos sustraídos es limitado.

Shopify, tras estos más de 6 meses de investigación, nos ha informado que a día de hoy no ha detectado que los datos extraídos de las comercios afectados hayan sido utilizados.

De todas formas, a continuación te indicamos los principales usos (no exclusivos) que se suelen dar en este tipo de incidentes – lo cual no significa que esto suceda en este caso – como, por ejemplo:

  • Campañas de Spam: como sabrás, es bastante común recibir correos electrónicos de empresas de las que nunca hemos oído hablar. Este suele ser el uso más habitual para este tipo de delitos, especialmente si no hay datos financieros o contraseñas expuestas, como en este caso.
  • Creación de perfiles sociales: es una práctica habitual hoy en día, con la finalidad de generar comentarios, opiniones o reacciones de forma masiva. Por suerte, las empresas que gestionan la mayoría de redes sociales suelen detectar este tipo de perfiles y los eliminan rápidamente. 
  • Envío de malware personalizado: también conocido como “Phishing”, se basa en enviar un correo electrónico suplantando la identidad de una empresa para solicitar información sensible, como contraseñas o números de cuenta bancaria, utilizando los datos personales sustraídos para generar confianza. Es una práctica muy habitual hoy en día, tal y como lo certifica el Observatorio Español de Delitos Informáticos (OEDI). Si deseas obtener más información sobre esto y cómo protegerte te recomendamos que consultes su página web.

Recuerda: nosotrxs nunca te solicitaremos información de carácter financiero por ningún medio, como numeraciones de tarjetas o cuentas bancarias. Si recibes algún correo en nombre de Platanomelón y tienes dudas sobre su legitimidad, por favor, escríbenos al correo gdpr@platanomelon.com adjuntando una copia del correo electrónico y de su remitente.

Lamentablemente estas prácticas son cada vez más comunes y es posible que tus datos ya hayan sido sustraídos en alguna otra plataforma con anterioridad, y que dicha plataforma, al no regirse por las leyes Españolas y Europeas de protección de datos, no te haya informado nunca de de ello. 

Te recomendamos que consultes esta página web, donde introduciendo únicamente tu correo electrónico podrás comprobar si tus datos ya han sido susceptibles de alguna otra brecha de seguridad en el pasado, algo por desgracia bastante habitual hoy en día. Ten en cuenta que en esta página únicamente se muestran datos de filtraciones públicas conocidas. A día de hoy, no hay evidencias de que los datos extraídos en este incidente de Shopify hayan sido publicados.

 

15. ¿Ha sido algo exclusivo de Platanomelón?

No. La brecha de seguridad ha afectado a más de 200 comercios de sectores muy diversos, entre los que se encuentra Platanomelón. El objetivo no ha sido en ningún momento los datos de Platanomelón en concreto, sino conseguir la máxima cantidad de información posible. Es por ello que han extraído los datos de los comercios más importantes de Shopify o con mayor número de usuarios a nivel mundial.

Los dos empleados deshonestos de Shopify extrajeron los datos disponibles de las tiendas con más usuarios de la plataforma, pero sin ninguna premeditación previa en base al contenido o temática de éstas; es decir, de forma indiscriminada e indistintamente de la tipología de productos vendidos.

Como te indicamos, ni tus datos bancarios o de tarjetas, así como tus contraseñas, se han visto afectados, ya que por seguridad nunca almacenamos este tipo de información sensible. 

Platanomelón solo almacena la información necesaria para poder enviarte el pedido, siguiendo las regulaciones contables y legales que nos requieren conservar estos datos durante un periodo mínimo de 4 años.

 

16. ¿Pueden acceder a mi correo electrónico, cuentas o dispositivos?

No, los accesos a tu correo electrónico, cuentas o dispositivos no están relacionados con este incidente, así que no debes preocuparte por ello. Únicamente se han visto comprometidos los datos de carácter personal: nombre y apellidos, email, teléfono, dirección postal* y productos del pedido.

Como te decíamos, Shopify no almacena información sensible como tus contraseñas o información bancaria o de tarjetas. Además, nosotrxs tampoco tenemos acceso a dichos datos, ya que por seguridad y según la normativa PCI DSS de nivel 1 no los necesitamos para nada y, de hecho, preferimos no tener acceso a ellos. Por todo ello puedes estar muy tranquilx en este sentido.

 *En algunos casos el DNI/NIE facilitado por lxs clientes dentro de la propia dirección de envío también estaría afectado. Esas personas han recibido con una notificación adicional al respecto informando de ello.

 

17. ¿Puedo solicitar que se supriman mis datos?

Por supuesto. En cualquier momento puedes ejercer tus derechos en relación al tratamiento de tus datos personales, tal y como se indica en nuestra Política de privacidad y se establece en el Reglamento General de Protección de Datos (RGPD), entre los que se incluye el derecho de supresión de los datos.

Platanomelón solo almacenará tus datos debidamente bloqueados -adoptando medidas técnicas y organizativas para impedir su ulterior tratamiento- tras el ejercicio del derecho de supresión, tal y como establece el artículo 32 de la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDgdd).

Platanomelón solo almacena la información necesaria para poder enviarte el pedido, siguiendo las regulaciones contables y legales que nos requieren conservar estos datos durante un periodo mínimo de 4 años.

Para ejercer tus derechos en materia de protección de datos solo tienes que escribirnos al correo electrónico gdpr@platanomelon.com indicando la referencia “Datos Personales”, especificar el derecho que se quiere ejercer y respecto a qué datos personales, así como incluir una copia de tu documento de identidad.

Te recordamos que puedes ejercer los siguientes derechos:

  • Solicitar el acceso a tus datos personales o su rectificación cuando sean inexactos.
  • Solicitar su supresión cuando, entre otros motivos, los datos ya no sean necesarios para los fines para los que fueron recogidos.
  • Solicitar la limitación de su tratamiento en determinadas circunstancias.
  • Solicitar la oposición al tratamiento de tus datos por motivos relacionados con tu situación particular.
  • Solicitar la portabilidad de los datos en los casos previstos en la normativa. 
  • Otros derechos reconocidos en las normativas aplicables. 

Nota: la supresión de tus datos personales de nuestros sistemas no afecta de forma retroactiva a los datos que ya fueron sustraídos por los exempleados de Shopify.


 


  

18. Resumen de la incidencia

Naturaleza de la brecha de seguridad: sustracción de datos no autorizada por parte de dos exempleadxs de nuestro proveedor de la plataforma de tienda online, Shopify, que ha afectado a más de 200 empresas en todo el mundo. Es un incidente aislado y no está relacionado con la seguridad o los sistemas técnicos de protección de Shopify.

Fechas: la brecha tuvo lugar en junio de 2020, Shopify tuvo conocimiento de que afectó a Platanomelón el 28 de diciembre de 2020, nos informó el 30 de diciembre y nosotrxs se lo notificamos a la AEPD al día siguiente.

Datos afectados: nombre y apellidos, correo electrónico, teléfono, dirección postal de envío y de facturación, pedido. NO ha afectado a los datos relacionados con el método de pago y contraseñas. 

Posibles consecuencias: no se prevén más allá de la sustracción de la que hablamos, puesto que no se han detectado incidencias desde junio, cuando tuvo lugar la brecha de seguridad. Además, se han adoptado contundentes medidas correctoras. Tampoco se han visto comprometidos datos financieros ni contraseñas.

Medidas correctoras adoptadas:

  • Por Shopify: (1) Despido y bloqueo de accesos de lxs empleadxs deshonestos; (2) Confiscación de los dispositivos informáticos de dichos exempleados; (3) Denuncia al FBI y otras agencias para iniciar una investigación; (4) Contratación de empresa de análisis forense; y (5) Revisión de políticas corporativas.
  • Por Platanomelón: (1) Análisis del incidente; (2) Contratación de asesoramiento especializado; (3) Notificación a la AEPD; (4) Comunicación a las personas afectadas; y (5) Revisión de políticas corporativas.

Puntos de contacto:

  • Platanomelón: gdpr@platanomelon.com
  • Otros: Línea de Ayuda en Ciberseguridad de INCIBE en el número gratuito 017.


Última actualización: 04/02/2021