El regulador surcoreano de protección de datos ha multado a Lotte Card, un proveedor de tarjetas de crédito con sede en Seúl, con 9.600 millones de won, unos 6,5 millones de dólares, tras un ciberataque que expuso información personal perteneciente a millones de clientes.
La sanción fue impuesta por la Comisión de Protección de la Información Personal, el regulador nacional de privacidad del país responsable de hacer cumplir las leyes de protección de datos. La comisión concluyó que Lotte Card violó la Ley de Protección de Información Personal al no proteger adecuadamente los datos sensibles de los clientes.
La investigación concluyó que los hackers vulneraron el sistema de pagos online de la empresa y accedieron a archivos de registro que contenían información personal de crédito perteneciente a unos 2,97 millones de usuarios. Entre los registros expuestos había números de registro de residentes de aproximadamente 450.000 clientes. Estos números sirven como un sistema nacional central de identificación en Corea del Sur y se consideran datos personales altamente sensibles.
Los reguladores afirmaron que la brecha se produjo porque la información personal se almacenó de forma incorrecta en los registros del sistema. Según la comisión, Lotte Card registró varios tipos de datos personales, incluidos números de registro de residentes, en texto plano dentro de archivos de registro conectados a procesos de pago en línea. Los investigadores también determinaron que las protecciones de cifrado para estos registros eran insuficientes.
La ley surcoreana restringe el uso y almacenamiento de los números de registro de residentes. Las organizaciones solo pueden procesar dichos identificadores en circunstancias limitadas y deben aplicar estrictas salvaguardas al manejarlos. La comisión concluyó que Lotte Card procesó los identificadores más allá del alcance permitido por la ley.
Además de la sanción económica, el regulador ordenó a Lotte Card reforzar sus prácticas de protección de datos. La empresa debe revisar cómo se gestiona la información personal dentro de sus sistemas y mejorar los controles de seguridad relacionados con el procesamiento de datos sensibles. Las autoridades también instruyeron a la empresa para que divulgara detalles sobre el incidente en su página web para informar a los clientes afectados.
La investigación comenzó después de que el Servicio de Supervisión Financiera de Corea del Sur informara de la brecha a la Comisión de Protección de Información Personal en septiembre del año anterior. Las autoridades realizaron entonces una investigación conjunta entre el sector público y privado para determinar cómo se produjo el ataque y si la empresa había cumplido con las normativas de privacidad.
Los funcionarios señalaron que el caso conducirá a inspecciones más amplias dentro del sector financiero. La comisión planea examinar si otras instituciones financieras están procesando números de registro de residentes sin una base legal clara o garantías suficientes.
El regulador afirmó que las empresas que manejan información personal sensible deben revisar regularmente sus prácticas de protección de datos y aplicar fuertes salvaguardas para prevenir accesos no autorizados y exposición de datos.