La brecha de Pick n Pay pone bajo escrutinio la ciberseguridad minorista de Sudáfrica

Un ciberataque contra el gigante minorista sudafricano Pick n Pay ha expuesto datos de clientes vinculados a una versión antigua de su plataforma de entrega bajo demanda, lo que genera nuevas preocupaciones sobre cómo las empresas gestionan los sistemas heredados mucho después de haber sido retirados.

La brecha, que Pick n Pay ha confirmado, involucra información de clientes de la antigua aplicación de entrega del minorista, lanzada originalmente como Bottles y posteriormente rebautizada como Asap! Los datos comprometidos incluían información sensible de clientes y detalles de tarjetas de pago.

Si bien Pick n Pay reconoció la brecha, refutó las afirmaciones de que se expuso información completa de las tarjetas. El incidente pone de relieve un desafío creciente para las empresas que atraviesan una transformación digital: los sistemas retirados pueden seguir siendo vulnerables mucho después de desaparecer de la vista pública. 

Pick n Pay comenzó a notificar a los clientes afectados el 30 de mayo, advirtiendo que los usuarios que se registraron en el servicio de entrega antes del año 2022 o durante ese año podrían haber sido afectados. 

"Los datos afectados provienen de una versión anterior de nuestra aplicación bajo demanda, conocida primero como Bottles y luego como Pick n Pay Asap!, que ha sido reemplazada desde entonces", dijo el minorista en una notificación a sus clientes.

Según el gigante de los supermercados, la información expuesta incluye nombres, datos de contacto, direcciones de entrega e información limitada de tarjetas de pago. La empresa subrayó que los números completos de tarjetas de pago y los códigos de seguridad CVV no estaban almacenados en el sistema afectado.  

"Esto significa que los datos filtrados no pueden utilizarse para realizar transacciones fraudulentas en las tarjetas de los clientes", afirmó el minorista. 

A pesar de esas garantías, los clientes siguen inquietos por la exposición de información personal que podría ser aprovechada en ataques de phishing y esquemas de fraude de identidad. 

"Las mayores víctimas de una mala ciberseguridad son siempre las personas trabajadoras de a pie", dijo el comprador de Pick n Pay Dzungi Mudzunga. "Los ejecutivos se disculpan por correo electrónico mientras los ciudadanos lidian con intentos de fraude durante años."  

El experto en ciberseguridad Dr. Nishal Khusial señaló que la brecha pudo haberse originado en debilidades de la infraestructura heredada del minorista. 

"Lo que ocurrió en este caso es que había un sistema antiguo conectado a una aplicación antigua que no contaba necesariamente con los mecanismos de protección actuales para defenderse de los ataques de penetración modernos", dijo Khusial a TechCabal.

La brecha también ha renovado el escrutinio sobre cómo las organizaciones gestionan los datos de los clientes una vez que las plataformas son retiradas. Samantha Hanreck, fundadora y directora del proveedor de soluciones de TI Data Sync Global, argumentó que el incidente apunta a un problema de gobernanza más amplio en lugar de un fallo puramente técnico.

 "El incidente de Pick n Pay no es realmente una historia sobre hackers", dijo. "Es una historia sobre datos que ya no necesitaban existir. La plataforma fue retirada en 2022, pero los registros de clientes permanecieron accesibles. Eso es un fallo de gobernanza, no un fallo tecnológico." 

Para algunos clientes, la respuesta del minorista no ha sido suficiente.

"Esto es una grave invasión a la privacidad", dijo Trevor Dube, propietario de una empresa de seguridad con sede en Johannesburgo y asiduo comprador de Pick n Pay. "Como clientes, esperamos que estas grandes empresas mantengan segura nuestra información privada. Debe haber consecuencias serias cuando no logran protegernos." 

Phetho Ntaba, portavoz de la Comisión Nacional de Consumidores de Sudáfrica, aconsejó a los consumidores afectados que presenten quejas ante el Regulador de Información, el organismo legal responsable de hacer cumplir la Ley de Protección de Información Personal (POPIA). "Ese es el organismo facultado para tratar el acceso ilegal a la información personal de las personas", afirmó.

Nomzamo Zondi, directora de comunicaciones del Regulador de Información, dijo que el regulador está listo para asistir a los consumidores afectados. "Si considera que su información personal ha sido vulnerada, visite nuestra página de servicios de gestión en línea o acuda a nuestras oficinas para registrar su queja", señaló. 

Zondi también instó a Pick n Pay a garantizar que el incidente sea reportado formalmente al regulador. La empresa indicó que ya ha iniciado ese proceso mientras trabaja para determinar el alcance total de la brecha.

"Se han seguido y se siguen siguiendo todos los procesos correspondientes, incluida la notificación al Regulador de Información", dijo Enrico Ferigolli, Director Online de Pick n Pay. "Estamos trabajando estrechamente con especialistas en ciberseguridad y llevando a cabo una revisión más amplia de las prácticas históricas de gestión y retención de datos como parte de nuestra inversión continua en la seguridad de los datos de los clientes."