Un ciberataque a las joyerías Rabat desvela datos sensibles de miles de clientes

El grupo de joyerías de lujo Rabat ha visto comprometidos todo tipo de ficheros con datos de clientes, blanqueo de capitales y operativas internas en una filtración en la que estos han quedado expuestos de manera gratuita en servidores de acceso general. La filtración, según ha podido comprobar en exclusiva MERCA2.ES compromete al menos a 10.000 clientes de Rabat, cuyos datos, domicilios, teléfonos móviles, importes de sus compras e incluso datos comprometedores han quedado expuestos y ya están circulando por la red, en lo que supone un descomunal fallo de seguridad. El Grup Flash Rabat tiene una facturación anual de 106 millones de euros, según los últimos datos publicados en el mercado.

Según ha podido saber Merca2.es en exclusiva, dos archivos procedentes de Grup Flash Rabat aparecieron en septiembre de 2022 en un foro de hackers dedicado a la compra-venta de bases de datos y filtraciones de empresas, denominado “Pandastar”. En este sitio apareció publicada una entrada denominada “Passports Leaks from RABAT Finest Watch & Jewells”. En realidad se trata de enlaces a una página de archivos compartidos. Estas descargas se hacen de manera gratuita, anónima y segura de punto a punto, según explican expertos en ciberseguridad a los que ha consultado MERCA2.ES. Es decir, durante meses, datos extremadamente sensibles de unos 10.000 clientes de la joyería de lujo Rabat estuvieron expuestos y a disposición de quien accediera a esta página, abierta y gratuita. Los expertos consultados por MERCA2.ES han determinado incluso la hora y fecha del arranque de esta filtración. Los archivos se pusieron a exposición pública el mes de septiembre pasado, a través de un enlace del tipo .onion.

RABAT DESCUBRIÓ EL ATAQUE EL 9 DE SEPTIEMBRE

Rabat reconoce que, «efectivamente el nueve de septiembre se detectó una intromisión a algunos datos y equipos informáticos de Grupo Rabat, pero ello se debió a un ciberataque dirigido al proveedor al que tenemos externalizados los servidores». El grupo joyero asegura que » dicho ciberataque fue masivo, dado que se vieron afectados servidores de un gran numero de compañías importantes»

Por lo que han podido determinar expertos en ciberseguridad para este periódico, la clave de la filtración es un enlace que lleva a la Dark Web, con el que estaría relacionado un grupo de ciberdelincuentes denominado SPARTA.

El grupo joyero asegura que siguió sus propio protocolos de seguridad y que interpuso denuncia ante la unidad de investigación tecnológica y que puso «la brecha de seguridad en conocimiento de la Agencia Española de Protección de Datos (AEPD)»y también del Instituto Nacional de Ciberseguridad INCIBE

VALIOSA BASE DE DATOS

Es difícil evaluar cuál ha sido la difusión de esta grave falla de seguridad y el alcance de la misma, pero lo cierto es que estos sitios están habitualmente frecuentados por especialistas en sacar provecho de estas situaciones, la compra y venta de bases de datos y de información confidencial, por lo tanto, de altísimo valor crematístico. Es cierto que fueron varias compañías las atacadas en esas fechas, pero entre las más sensibles sin duda está el grupo de joyería de lujo Rabat.

Rabat asegura a Merca2.es que la fuga de datos fue «escasa». El grupo joyero dice que el 16 de noviembre las autoridades les trasladaron que no iban ha hacer más actuaciones sobre este incidente, y la casa de joyeros catalanes dio por cerrado el episodio.

Sin embargo, según ha podido comprobar este diario, los archivos que han estado expuestos a quien quisiera bajárselos contienen las fichas de más de una decena de miles de clientes. No solo una relación, sino los listados de diferentes tipologías que los empleados y gestores de Rabat hicieron con esos clientes a partir de los datos que quien compraba un objeto en estas joyerías de lujo dejaba en sus registros.

Entre la prolija cantidad de gigas que han quedado a disposición de los hackers, compradores habituales de bases de datos o curiosos o quien con conocimientos avanzados pudo llegar a estos archivos hay varias carpetas de la más diferente tipología. Desde hojas excel con relaciones de clientes, sus compras, domicilios, teléfonos móviles o incluso anotaciones de tipo personal, hasta escaneados de documentos confidenciales.

Según ha podido comprobar MERCA2.ES, hay varias carpetas en las que aparecen escaneados documentos de identidad y miles de pasaportes de clientes, tanto nacionales como internacionales. Las bases de datos de Grup Flash Rabat expuestas son de diferente tipología. Una de ellas, con nombres importantes y sonoros en España, incluye los impagos que ha sufrido la firma. Incluso los monitorios (procedimientos judiciales para el pago de deudas) que se tienen emprendidos.

Del mismo modo están expuestos los sistemas de seguridad de las joyerías Rabat para la prevención del blanqueo de capitales. Normas, manuales, incluso consultas sobre particulares en forma de grupos de whatsapp o emailes.

También los hackers o curiosos que llegaran a estos archivos tienen a disposición secretos comerciales de la firma Rabat. Tanto en los cupos de joyas o relojes de lujo, como incluso los sistemas de facturación y de anticipos de la compañía. Uno de los archivos incluye las comisiones que reciben determinadas personas como consecuencia de la venta de joyas y relojes exclusivos.

ESCASEZ DE RELOJES DE LUJO EN EL MERCADO MUNDIAL

El sistema mundial de relojes exclusivos vive una época muy peculiar: hay una enorme escasez de este producto y las firmas tienen, no solo listas de espera de más de un año para determinados modelos, sino limitaciones a clientes habituales en el número de relojes que se les vende. Buena parte de estos secretos está expuesto en la enorme falla de seguridad que los hackers encontraron en los sistemas de Grup Flash Rabat.

La familia Rabat no es una de las tradicionales en la joyería de alta gama en España. Sin embargo, en unos años, por medio de políticas de inversión y agresividad comercial, han logrado abrirse un importantÍsimo hueco en este complejo sector. Durante unos años se convirtieron en los suministradores de joyas y relojes de altísima gama de la burguesía catalana. Merced a la política de cupos de relojes, acertadas operaciones de relaciones públicas y la apertura a gran escala de tiendas en varios puntos de España, Rabat ha conseguido una indudable posición de privilegio.

Ahora bien, la joyería se basa en la relación de confianza con los clientes y la alta confidencialidad de determinadas operaciones. Hoy, muchas de las efectuadas por Rabat en los últimos años, ha quedado expuesta.

Rabat asegura que informó a sus clientes por medio de un comunicado en su web para que cualquier cliente se pusiera en contacto con su «delegado de protecicón de datos». Sin embargo, no especifica cuántos clientes lo hicieron, o al menos se dierpn por enterados de que sus datos fiscales, personales y hasta su número de móvil han estado expuestos.

El grupo joyero explicita que «se encuentra totalmente comprometido con la seguridad y la implementación de todos los medios necesarios para garantizar que los datos personales de nuestros clientes son tratados con todas las garantías y estricto cumplimiento de la legislación vigente». Em ese sentido, informan de que «, «se implementaron nuevas medidas de seguridad que han afectado al Dpto. IT y a los servidores externos. A titulo meramente ejemplificativo y sin carácter limitativo, se han contratado nuevos sistemas de disaster recovery y un nuevo proveedor especializado en materia de ciberseguridad».