Mango ha informado de un acceso no autorizado a una base de datos de clientes. La vulneración, que se ha producido a través de uno de los servicios externos que la empresa utiliza para campañas de marketing, ha expuesto información de contacto personal de un número aún no cuantificado de clientes. Según fuentes de la compañía, la información afectada "se limita a los datos de contacto personales utilizados en campañas de marketing". En concreto, se trata del nombre, el país, el código postal, la dirección de correo electrónico y el número de teléfono. La empresa ha querido transmitir un mensaje de tranquilidad al asegurar que, "en ningún caso, se ha visto comprometida información bancaria, tarjetas de crédito, DNI, pasaporte, credenciales de acceso ni contraseñas de los clientes".
Una vez se han conocido los hechos, Mango ha activado, de forma inmediata, sus protocolos de seguridad informática. Como es preceptivo en este tipo de incidentes en el marco del Reglamento General de Protección de Datos (RGPD), la compañía ha notificado la vulneración tanto a la Agencia Española de Protección de Datos (AEPD) como a las autoridades competentes.
Este paso es crucial para iniciar una investigación y evaluar el alcance real de la filtración. Uno de los puntos clave que recalca la comunicación de Mango es que la vulneración no ha afectado a los sistemas informáticos corporativos de la empresa. "Todo sigue funcionando con normalidad", han afirmado desde la compañía. Esto significa que las plataformas de venta online, los sistemas de gestión de tiendas y las bases de datos principales que contienen información financiera y de cuentas de usuario permanecen ilesas y seguras.
No obstante, la filtración de datos de contacto, aunque parezca menos grave, abre la puerta a riesgos significativos para los clientes afectados. Desde Mango se ha lanzado una recomendación preventiva a toda su clientela. El consejo principal es mantenerse especialmente alerta ante cualquier "comunicación sospechosa" o solicitud de acciones inusuales recibidas tanto por correo electrónico como por teléfono.
El peligro más inmediato es que los ciberdelincuentes, ahora en posesión de direcciones de correo, nombres y números de teléfono, puedan lanzar campañas de phishing altamente personalizadas. Estos mensajes podrían suplantar la identidad de Mango o de otras empresas e intentar engañar a los receptores para que faciliten información confidencial, como contraseñas o detalles de tarjetas de crédito, o para que hagan clic en enlaces maliciosos.
Este incidente se une a la lista de vulneraciones de datos que han afectado a diversas compañías a nivel global en los últimos meses, y actúa como un recordatorio de la importancia de la vigilancia cibernética tanto por parte de las empresas como de los usuarios finales. Las autoridades de protección de datos esperan que las compañías notifiquen estos incidentes en un plazo máximo de 72 horas desde su descubrimiento, tal como ha hecho Mango, para poder actuar en consecuencia y proteger los derechos de los ciudadanos.