Coupang sufre una brecha de datos que expone información personal de 33,7 millones de clientes
Introducción
El gigante surcoreano del comercio electrónico Coupang ha sido víctima de una de las mayores brechas de datos registradas en el sector minorista asiático. La compañía, considerada el «Amazon de Corea del Sur», ha confirmado la exposición de información personal perteneciente a 33,7 millones de usuarios, una cifra que representa una parte significativa de la población del país. Este incidente pone en el punto de mira la seguridad de los grandes entornos cloud y la protección de datos en plataformas digitales de gran escala, especialmente en el contexto normativo cada vez más exigente marcado por regulaciones como el GDPR europeo o la inminente NIS2.
Contexto del Incidente
La brecha, detectada a finales del primer semestre de 2024, ha sacudido tanto al sector privado como a las autoridades reguladoras de Corea del Sur. Coupang, que cotiza en la bolsa de Nueva York y gestiona uno de los mayores ecosistemas logísticos del continente asiático, ha reconocido públicamente el incidente tras una investigación interna tras detectar accesos irregulares a su infraestructura. La filtración afecta a clientes activos e históricos, incluyendo usuarios con cuentas cerradas, lo que agrava el alcance del daño.
La compañía, que maneja millones de transacciones diarias y almacena volúmenes masivos de datos en entornos cloud (principalmente AWS), ya había sido advertida previamente de la necesidad de reforzar sus controles de acceso y segmentación de datos, según fuentes del sector surcoreano de ciberseguridad.
Detalles Técnicos: Vectores de Ataque y TTPs
Aunque Coupang no ha publicado detalles exhaustivos del vector inicial, fuentes cercanas a la investigación y analistas independientes señalan que el ataque podría haber aprovechado una combinación de errores de configuración en buckets S3 de AWS y credenciales expuestas, posiblemente a través de repositorios no securizados en plataformas de desarrollo colaborativo (como GitHub o Bitbucket).
No se ha hecho referencia a exploits específicos ni se ha asignado un CVE concreto al incidente, pero los patrones identificados concuerdan con técnicas recogidas en el framework MITRE ATT&CK, especialmente T1078 (Valid Accounts) y T1190 (Exploit Public-Facing Application). El acceso ilegítimo permitió a los atacantes listar y extraer registros sensibles, incluyendo nombres, direcciones postales, emails, números de teléfono y, en algunos casos, detalles parciales de métodos de pago.
Entre los Indicadores de Compromiso (IoC) detectados, se ha identificado actividad anómala desde direcciones IP de regiones fuera del habitual perímetro de operaciones de Coupang, así como patrones de acceso automatizado. No se descarta el uso de herramientas de post-explotación como Metasploit para la enumeración y extracción masiva de datos, aunque la compañía no ha confirmado la presencia de malware persistente en sus sistemas.
Impacto y Riesgos
El alcance de la brecha es considerable: 33,7 millones de usuarios, lo que representa aproximadamente el 65% de la población adulta de Corea del Sur. El impacto inmediato es la exposición de información de carácter personal, lo que facilita campañas de phishing, ingeniería social o fraudes financieros a gran escala. Además, la filtración puede tener repercusiones legales y regulatorias significativas bajo la Ley de Protección de Información Personal de Corea (PIPA), y, para usuarios europeos con cuentas en la plataforma, el GDPR.
A nivel empresarial, la reputación de Coupang se ha visto seriamente comprometida, con una caída del 7% en el valor de sus acciones tras hacerse público el incidente y la posible apertura de investigaciones por parte de la Comisión de Comunicaciones de Corea. Se estima que los costes asociados a la notificación, mitigación y posibles sanciones podrían superar los 50 millones de dólares.
Medidas de Mitigación y Recomendaciones
Coupang ha procedido a resetear contraseñas, forzar autenticación multifactor y revisar exhaustivamente las políticas IAM en AWS para minimizar nuevos accesos no autorizados. Se recomienda a las empresas del sector:
– Realizar auditorías periódicas de configuraciones cloud (S3, IAM, VPC).
– Monitorizar la exposición de credenciales en repositorios públicos y privados.
– Implementar controles de acceso basados en roles y principios de mínimo privilegio.
– Utilizar soluciones de DLP y EDR específicamente diseñadas para entornos cloud.
– Simular ejercicios de Red Team y Blue Team para identificar brechas potenciales.
– Revisar y actualizar los planes de respuesta ante incidentes y notificación a usuarios según lo exige la legislación local o internacional (GDPR, NIS2).
Opinión de Expertos
Analistas de ciberseguridad como Kim Seong-ho, del CERT coreano, subrayan que “la rápida escalabilidad de las plataformas cloud a menudo va acompañada de deficiencias en la gestión de accesos y monitorización. Las organizaciones deben priorizar la visibilidad y el control granular de sus activos críticos”. Asimismo, firmas de seguridad como FireEye y CrowdStrike advierten de un aumento del 30% en ataques dirigidos a retailers asiáticos en el último año, haciendo hincapié en el uso creciente de técnicas de Living-off-the-Land (LotL) y la automatización de ataques contra infraestructuras cloud.
Implicaciones para Empresas y Usuarios
Para los departamentos de TI y las áreas de cumplimiento normativo, este incidente es un recordatorio de la importancia de la gestión proactiva de riesgos en entornos cloud y de la obligación de notificar incidentes según la NIS2 y otras regulaciones. Los usuarios deben extremar las precauciones ante posibles campañas de spear-phishing y revisar la seguridad de sus cuentas asociadas.
Conclusiones
La brecha sufrida por Coupang subraya la vulnerabilidad inherente de las grandes plataformas digitales y la necesidad de aplicar controles de seguridad robustos y continuos, tanto a nivel técnico como organizativo. El incidente servirá sin duda como caso de estudio en el ecosistema global de ciberseguridad y como llamada de atención para el sector retail.
(Fuente: www.bleepingcomputer.com)