La AEPD ha impuesto una multa de 1,09 millones de euros a una conocida empresa de electrónica española, tras una brecha de seguridad que expuso datos de clientes en la dark web.
El origen: una plataforma antigua de e-commerce, supuestamente fuera de uso, pero que seguía accesible, sin actualizar y con datos sin cifrar.
¿Qué falló?
La sanción no se debe solo al ataque, sino a cómo se gestionó:
- Reacción tardía: INCIBE alertó el 5 de abril y no se investigó hasta días después.
- Sistema vulnerable activo: una plataforma obsoleta seguía expuesta a Internet.
- Datos sin cifrar: información personal accesible.
- Falta de control: sin logs, ni monitorización suficientes.
- Notificación fuera de plazo: incumpliendo de las 72h del RGPD.
- Sin aviso a los afectados: pese al riesgo de fraude y brecha de seguridad.
La clave: el riesgo de los sistemas legacy
El problema real no fue solo el ataque, sino mantener un sistema antiguo que:
- Seguía conectado a datos reales.
- No estaba securizado.
- Ni siquiera se sabía que seguía expuesto.
Resultado: una puerta de entrada innecesaria.
Puede consultarse la resolución completa en este enlace.
Redactado por Julia, a fecha 13 de abril de 2026.