El operador multinacional de casinos y apuestas deportivas Codere advirtió a la Comisión de Bolsa y Valores de Estados Unidos (SEC, por su sigla en inglés) que su filial Codere Online ha sido víctima de un ciberataque durante el primer semestre de 2022, que derivó en la pérdida de 744 mil euros.
En este comunicado, la compañía admitió padecer “diversas debilidades” en cuanto a los controles internos para el funcionamiento digital de las operaciones corporativas. Según explicó, el ciberataque se trató de un hackeo al correo electrónico de un alto directivo de Codere.
Una vez allí, los atacantes habrían manipulado facturas para hacerse pasar “por agentes del equipo comercial de Codere Online” y así “enviar a diversos proveedores del grupo solicitudes de pago ilegítimas” adjuntando estos documentos alterados.
De esta forma, destacaron que se trata de “un evento aislado” y advirtieron que “no se pusieron en riesgo los depósitos de cuenta de los usuarios ni sus contraseñas, ni se accedió a los datos confidenciales de sus usuarios”. Igualmente, los bancos involucrados ya están al tanto de los hechos y “hasta la fecha, Codere Online ha recuperado una mínima parte”.
Así, remarcó: “Codere Online continúa persiguiendo la recuperación de las cantidades transferidas y puede estar limitada en la información que puede divulgar sobre este caso, ya que actualmente está considerando acciones legales”.
Codere admite ante SEC ciertas debilidades de seguridad digital
Si bien la compañía resaltó que los datos de los clientes, así como la información corporativa financiera y contable, no se han visto afectados por el ataque, sí admitió fallas “en el control interno sobre la información financiera por un diseño inefectivo y controles insuficientes sobre el sistema de pagos”. Además, en el mismo documento enviado a SEC, se reconoció la “incapacidad de los sistemas de ciberseguridad para evitar el ataque”.
“Codere Online no mantuvo controles efectivos sobre sus sistemas de tratamiento de la información, como consecuencia de la existencia de ciertas debilidades materiales en el control interno”, aseguró el operador.
Sin embargo, desde Codere Online adjuntaron información sobre distintas mejoras que se han comprometido a aplicar desde el momento en que notificaron el hecho, mientras que aseguraron a la SEC que ampliarán los controles de seguridad, como “una de las principales prioridades” de su equipo gestor.
En este sentido, también notificaron que “no ha encontrado pruebas de la involucración de ningún empleado de la compañía” y que este tipo de ataques informáticos “son, por naturaleza, tecnológicamente sofisticados y podrían ser imposibles de detectar y combatir”.
Cabe recordar que en 2020, la Agencia Española de Protección de Datos (AEPD) fue advertida por Codere sobre una brecha de seguridad en sus sistemas informáticos debido a “tres consultas sospechosas desde el servidor de uno de sus data centers a la base de datos que recopila las cuentas de sus jugadores online”.
En este anterior ataque, sí se ha accedido a datos sensibles de los clientes, como códigos de usuario, contraseña encriptada, DNI, nacionalidad, país de residencia, profesión, nombre y apellidos, datos de localización y contacto (dirección postal, dirección de correo electrónico, teléfono), profesión, saldos en cuenta o número de cuenta bancaria.
En un principio, la cantidad de usuarios que podrían haberse visto afectados fueron 599.556, pero tras una auditoría externa el número de posibles afectados bajó a 64.281, a los que se informó por correo de esa brecha de seguridad.
De todas maneras, al no detectar incidentes ni anomalías ni actividades sospechosas en las cuentas de los usuarios, la AEPD archivó el caso en junio de 2021, ya que “Codere disponía de medidas de seguridad razonables y reaccionó de forma diligente para minimizar su impacto y evitar que se repita en el futuro”.
