La Agència Espanyola de Protecció de Dades ha sancionat amb 120.000 euros la cadena de botigues esportives Décimas per una bretxa de seguretat que va deixar exposades les dades personals de més de 330.000 clients després d'un ciberatac sofert a l'abril de 2024.
El cas afegeix un element rellevant a la resolució. L'empresa no va detectar per si mateixa l'accés a la seva base de dades i va conèixer la filtració quan l'Institut Nacional de Ciberseguretat li va avisar que la informació ja circulava per internet, malgrat que l'AEPD considera que la vulnerabilitat podria haver-se evitat.
La injecció de SQL va obrir l'accés a dades de més de 330.000 clients
L'incident es va produir mitjançant un atac d'injecció de SQL que va permetre a ciberdelinqüents entrar a la base de dades de la companyia. Entre la informació compromesa figuraven noms, cognoms, correus electrònics, dates de naixement, gènere i números de DNI.
La resolució de l'Agència conclou que la companyia no comptava amb mecanismes adequats per detectar moviments sospitosos a la seva infraestructura. Aquesta falta de control explica que l'alerta no arribés des dels seus propis sistemes, sinó des de l'organisme estatal de ciberseguretat.
L'AEPD va rebaixar la multa després del reconeixement dels fets
La sanció imposada partia de 200.000 euros, però va quedar reduïda després que Décimas reconegués els fets i optés pel pagament anticipat. Amb aquesta rebaixa, la quantia final es va situar en 120.000 euros per la bretxa de seguretat.
A més de la multa econòmica, l'Agència ha exigit a l'empresa que acrediti una revisió dels seus sistemes de protecció. L'ordre fixa que haurà de demostrar el reforç de les seves mesures de seguretat dins d'un termini de sis mesos.
La resolució situa aquest requeriment en un període concret i obliga Décimas a acreditar davant l'Agència, dins d'aquests sis mesos, que ja ha corregit les deficiències que van permetre l'atac.