La Agencia Española de Protección de Datos ha sancionado con 120.000 euros a la cadena de tiendas deportivas Décimas por una brecha de seguridad que dejó expuestos los datos personales de más de 330.000 clientes tras un ciberataque sufrido en abril de 2024.
El caso añade un elemento relevante a la resolución. La empresa no detectó por sí misma el acceso a su base de datos y conoció la filtración cuando el Instituto Nacional de Ciberseguridad le avisó de que la información ya circulaba por internet, pese a que la AEPD considera que la vulnerabilidad podía haberse evitado.
La inyección de SQL abrió el acceso a datos de más de 330.000 clientes
El incidente se produjo mediante un ataque de inyección de SQL que permitió a ciberdelincuentes entrar en la base de datos de la compañía. Entre la información comprometida figuraban nombres, apellidos, correos electrónicos, fechas de nacimiento, género y números de DNI.
La resolución de la Agencia concluye que la compañía no contaba con mecanismos adecuados para detectar movimientos sospechosos en su infraestructura. Esa falta de control explica que la alerta no llegara desde sus propios sistemas, sino desde el organismo estatal de ciberseguridad.
La AEPD rebajó la multa tras el reconocimiento de los hechos
La sanción impuesta partía de 200.000 euros, pero quedó reducida después de que Décimas reconociera los hechos y optara por el pago anticipado. Con esa rebaja, la cuantía final se situó en 120.000 euros por la brecha de seguridad.
Además de la multa económica, la Agencia ha exigido a la empresa que acredite una revisión de sus sistemas de protección. La orden fija que deberá demostrar el refuerzo de sus medidas de seguridad dentro de un plazo de seis meses.
La resolución sitúa ese requerimiento en un periodo concreto y obliga a Décimas a acreditar ante la Agencia, dentro de esos seis meses, que ya ha corregido las deficiencias que permitieron el ataque.