Estonia es un pequeño país que cuenta con 1,31 millones de habitantes. Así que una brecha de seguridad de grandes proporciones en la nación báltica puede afectar a gran parte de su población.
Esto es, precisamente, lo que ha ocurrido recientemente. La cadena de farmacias Apotheca ha experimentado una violación de datos que habría dejado 'vendidos' a los titulares de sus tarjetas de fidelidad.
La infracción también afectó a los clientes de otras dos cadenas de tiendas, Apotheca Beauty y PetCity. Todas las compañías formaban parte del mayorista farmacéutico estonio Magnum, que también opera tiendas en Finlandia, Letonia y Estonia.
Los ciberdelincuentes lograron acceder a una base de datos operada por Allium UPI, una compañía que se ocupa de productos farmacéuticos y hospitalarios.
Los actores de amenazas consiguieron vulnerar una copia de seguridad de dicha base de los años 2014 a 2020 y no contenía información en tiempo real.
Según han revelado las autoridades policiales estonias, tras una investigación, la información robada contiene cerca de 700.000 códigos de identificación personal, más de 400.000 emails, casi 60.000 direcciones particulares y unos 30.000 números de teléfono.
Los datos filtrados también incluyen detalles de unos 43 millones de compras, incluyendo medicamentos sin receta. Afortunadamente, según ha señalado la policía local, no se filtró información sobre medicamentos recetados, ni tampoco datos bancarios ni contraseñas.
Por ahora no se conoce la autoría de los atacantes. Las fuerzas del orden están trabajando para localizar a los culpables, aunque han dejado caer que hay abierta una investigación internacional.
No obstante, señalan que no tienen constancia de que los datos filtrados se hayan usado por ahora con fines delictivos, según recoge Cybernews.
Una mala praxis
Los investigadores de seguridad culpabilizan a Allium UPI de no haber protegido la base de datos convenientemente. Creen que los atacantes solo tardaron minutos en descargar la información tras comprometer el sistema.
La compañía ha pedido disculpas por el incidente y asegura haber implementado medidas de seguridad adicionales.
Pille Lehis, director general de la Inspección de Protección de Datos de Estonia, ha declarado a medios locales que el caso pone de manifiesto que la protección de datos es "una cuestión secundaria para muchas empresas".