Así lo avanzó en un comunicado en el que subrayó que esta compañía especializada en tecnología para el hogar ha remitido un correo electrónico a sus clientes donde informa de que este ciberataque tuvo lugar en abril de 2023.

La asociación lamenta que el aviso a las posibles personas afectadas “haya sido enviado dos años después de que ocurriesen los hechos” y explicó que Cecotec ha informado de que, como consecuencia de este ciberataque, se han visto “comprometidos” datos identificativos (nombres, apellidos y DNI) y de contacto (teléfonos y dirección postal) de algunos clientes que figuraban registrados en su antigua plataforma de 'e-commerce'.

“La empresa ha explicado en un comunicado que ha implementado una serie de medidas para mitigar el posible impacto del ciberataque, consistentes en la desactivación de la plataforma, la revocación y eliminación de permisos, la constitución de un Comité Interno de Seguridad, la realización de simulacros de phishing y la implantación de una herramienta interna para detectar páginas fraudulentas y también asegura haber dado traslado de esta brecha de seguridad a la AEPD”, abundó Facua.

En este contexto, señaló la “gravedad” de los hechos, teniendo en cuenta que estos datos “especialmente protegidos” podrían utilizarse para realizar campañas personalizadas de fraudes bancarios.

CIBERDELINCUENTES

“Al haber obtenido los ciberdelincuentes información personal de la víctima, pueden enviarle una comunicación (correo electrónico, llamada telefónica, etcétera) totalmente personalizada para que confíe en la veracidad del mensaje y, de este modo, perpetrar un posible delito de estafa”, agregó.

En su escrito, Facua alerta de que este fallo habría “vulnerado” varios preceptos del Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Por todo ello, ha pedido a la Agencia Española de Protección de Datos conocer si Cecotec le trasladó en su momento la información relativa a este ciberataque y si ha abierto una investigación para determinar si esta empresa ha llevado a cabo todas las actuaciones que recoge la normativa europea y española vigente.

Asimismo le insta a que, “en caso de detectar que se produjo algún tipo de incumplimiento, abra un expediente sancionador contra la compañía”.