BuyVip.com reconoce un robo de datos a sus usuarios

La Agencia Española de Protección de Datos (AEPD) ha iniciado de oficio las actuaciones previas para abrir una investigación a la compañía BuyVip por un problema de seguridad en el que se han visto comprometidos datos de sus usuarios. El viernes pasado, esta empresa de venta por internet envió un correo electrónico a sus clientes en el que informaba de que se había producido un "acceso no autorizado" a las cuentas de usuarios que almacena y recomendaba cambiar la contraseña de acceso al sistema. BuyVip reconocía así el robo de datos y recordaba que ellos nunca solicitarían "información personal o datos relativos a la cuenta de correo electrónico".

Las actuaciones iniciadas por la AEPD tendrán por objeto averiguar si se ha vulnerado la Ley de Protección de Datos en materia de seguridad y, si hubiera sido así, determinar las responsabilidades de la empresa.

La Agencia decidirá si se ha vulnerado la Ley de Protección de Datos

Entre la información a la que tuvieron acceso los ciberdelincuentes se encuentra el nombre, la dirección de correo electrónico, la contraseña, la dirección de envío de los productos adquiridos, la fecha de nacimiento y el teléfono de contacto de los usuarios. La empresa reitera que entre los datos a los que se accedió durante el ataque no se encontraba información de la tarjeta de crédito de los usuarios. La tienda online funcionó de manera intermitente durante los días previos al envío del correo, aunque la empresa no ha confirmado que ese cierre temporal estuviese relacionado con el robo.

BuyVip cuenta con versiones en español, alemán e italiano. Entre sus más de siete millones de usuarios se encuentran españoles, alemanes, austriacos, italianos, holandeses y portugueses. La tienda no ha especificado el número de usuarios afectados, aunque sí se ha sabido que las víctimas no corresponden a un país en concreto.

Las diligencias de la AEPD tendrán que dilucidar si está justificado que se inicie un procedimiento sancionador contra la tienda, y pueden prolongarse durante un máximo de 12 meses. Una vez concluidas, la Agencia determinará si se inicia el procedimiento o se archiva el caso.

BuyVip defiende que no se robó información de las tarjetas de crédito

Al igual que en el caso de Google y la recogida de datos por parte de sus coches Street View, BuyVip también fue la primera en hacer público el robo de información personal de sus servidores. No obstante, en el caso del buscador, este reconocimiento temprano no evitó que el procedimiento sancionador iniciado por la Agencia se saldase con una posible multa de 2,4 millones de euros (aunque el caso se encuentra en suspenso hasta que se dirima un proceso penal similar).

El robo de datos a BuyVip llega en un momento especialmente importante para la compañía, que fue adquirida en octubre del año pasado por la mayor tienda online del mundo, Amazon, para tener presencia en España. Está previsto que Amazon presente hoy su propia tienda española, que venderá desde libros a dispositivos electrónicos.