¡Grave! Fallo de seguridad en Sodimac deja al descubierto datos de miles usuarios

¡Grave! Fallo de seguridad en Sodimac deja al descubierto datos de miles usuarios

Compañía chilena expone por error datos de clientes en su sitio web. ¿Hasta qué punto los protege la ley?

Un error de seguridad en el sitio web de Sodimac ha dejado al descubierto datos de miles de usuarios. Esta situación pone en la discusión nuevamente en la necesidad de actualizar la normativa para el resguardo de la información personal.

Sodimac es una tienda propiedad del holding Falabella, controlado en gran parte por las familias Solari, Cúneo y Del Río-Goudie. Está presente en Chile, Argentina, Brasil, Colombia, México, Perú y Uruguay, por eso el reciente fallo de seguridad se torna tan grave (aunque solo se ha comprobado en Chile).

Al igual que otras compañías, la empresa permite hacer compras online en su sitio web. Para esto, es necesario crearse un usuario que, como es común, requiere de un correo electrónico y un RUT. No obstante, el fallo de seguridad deja al descubierto información de la compra y datos personales de los usuarios. El error fue descubierto por el equipo de comebarato.cl Así lo comentó el administrador del portal:

La vulnerabilidad del sitio de la tienda, tiene relación con la información de los usuarios. Es posible ver el detalle de las compras, las direcciones de despacho e información personal. Es importante que se arregle pronto, para evitar la exposición innecesaria.

¡Grave! Fallo de seguridad en Sodimac deja al descubierto datos de miles usuarios

No transparentaremos la metodología del error, puesto que se trata de información que puede ser sensible para los usuarios. Sin embargo, la situación deja al descubierto un tema pendiente en Chile. ¿Hasta qué punto se puede hacer uso de nuestros datos?

Hace poco el Consejo para la Transparencia de Chile hizo un llamado a que la normativa para la protección de datos personales se actualice, para que las empresas se hagan responsables cuando exista alguna brecha de seguridad que afecte a los usuarios.

Marcelo Drago, presidente del Consejo para la Transparencia, hizo mención a la filtración de datos que sufrió Uber hace algunos años en EE.UU., mencionando que un caso similar no se hubiese podido abordar con la misma rigurosidad en el país. “No es posible quedarnos esperando que se tramite y promulgue la ley o enfrentar casos de vulneración masivos para reaccionar a las necesidades y demandas actuales", dijo en la oportunidad.

En este marco, el proyecto de ley que envió el ejecutivo contempla nuevas medidas para la protección de información personal, aunque aún queda camino para que esté operativo. Jorge Atton, asesor presidencial en ciberseguridad, se refirió al tema hace un tiempo:

La ley de datos personales, hará una serie de exigencias, por eso es muy importante. Independientemente de eso, cada sector debe tener una normativa muy específica. Hay una que se está actualizando y vamos a incorporar en la normativa cuál es la información que debe ser resguardada por los clientes (…) La lógica de la ley de datos es que cuando yo entregue la información porque la pidieron, porque es una condición, es evidente que esa entidad o el Estado está obligado a protegerla.

Hoy nos encontramos con un caso de similares características en el país. Para Juan Carlos Lara, abogado y director de Políticas Públicas e Investigación de la ONG Derechos Digitales, es crítico que la legislación se actualice:

Las empresas recogen un montón de información y eso significa que ellos son responsables. Tienen una serie de obligaciones asociadas, como las condiciones de seguridad, además del consentimiento del usuario. Las obligaciones son débiles, bajo la ley actual. La ley dice que el responsable tiene que cuidar los datos y hacerse responsables de los daños. Para poder perseguir algún tipo de responsabilidad hay que probar algún daño y en este caso, por ejemplo si alguien descargarse alguna bases de datos, es difícil de calificar como daño. Habría que probar algún tipo de daño patrimonial, que es difícil.

El proyecto de ley de datos personales fue presentado este año y se fusionó con otro que venía del Senado. Actualmente hay una mesa de trabajo donde se están haciendo las revisiones para que el proyecto progrese y se apruebe pronto. Es importante actualizar la legislación para que cuando existan estas fallas, haya responsabilidad por parte de la empresas y se adopten medidas suficientes.

Contactamos a Sodimac para informarles del fallo, y estamos a la espera de una respuesta.

ACTUALIZACIÓN: La firma se acaba de referir al tema. Puedes leer su declaración aquí.