El gigante surcoreano del comercio electrónico Coupang ha confirmado una importante violación de datos que afecta a aproximadamente 34 millones de sus clientes coreanos. El incidente, que duró más de cinco meses, comprometió datos personales, incluidos nombres, direcciones de correo electrónico, números de teléfono, direcciones de envío e historiales de pedidos.
Cronograma y alcance del incumplimiento
Coupang detectó inicialmente actividad sospechosa el 18 de noviembre de 2025, cuando se descubrió que se había accedido a unas 4.500 cuentas de usuario sin autorización. Sin embargo, una investigación más profunda reveló la magnitud real de la infracción: 33,7 millones de registros de clientes quedaron expuestos. La empresa afirma que los datos financieros confidenciales, como la información de pago y las credenciales de inicio de sesión, no se vieron afectados.
Respuesta e investigación
Coupang informó del incidente a las autoridades surcoreanas, incluida la Agencia de Seguridad e Internet de Corea (KISA), la Comisión de Protección de Información Personal (PIPC) y la Agencia Nacional de Policía. Según la empresa, el acceso no autorizado se originó en servidores extranjeros a partir del 24 de junio de 2025 aproximadamente. Coupang afirma que desde entonces bloqueó la ruta de acceso y mejoró su monitoreo de seguridad con la ayuda de expertos externos.
Sospechoso identificado
Las fuerzas del orden han identificado a un ex empleado chino de Coupang, que actualmente reside en el extranjero, como sospechoso de la infracción. La investigación policial comenzó tras la denuncia inicial de Coupang en noviembre.
Problemas de seguridad recurrentes
Esta infracción no es un incidente aislado para Coupang. La compañía ha experimentado múltiples filtraciones de datos en los últimos años, incluidos incidentes en 2020-2021 y una vulneración más reciente de la información de más de 22.000 clientes en diciembre de 2023. Las repetidas filtraciones generan preocupación sobre la postura de seguridad cibernética a largo plazo de Coupang. La compañía opera no solo en Corea del Sur sino también en Japón y Taiwán, aunque afirma que la última violación no afectó los datos de esas regiones.
El incidente subraya la creciente amenaza de ataques cibernéticos dirigidos a plataformas de comercio electrónico y la necesidad crítica de medidas sólidas de protección de datos. A medida que aumentan las transacciones digitales, también aumenta el riesgo de violaciones de datos a gran escala, lo que hace que la seguridad proactiva sea esencial tanto para las empresas como para los consumidores.
