Codere Online perdió más de 800.000 dólares en un ciberataque en septiembre de 2022

Las autoridades de Codere reconocieron a la SEC - Comisión de Bolsa y Valores de los Estados Unidos (U.S. Securities and Exchange Commission), país en el que cotiza su filial Codere Online, la existencia de diversas deficiencias y “debilidades” en sus controles internos, tras un ciberataque perpetrado el pasado ejercicio que ha provocado al grupo una salida de recursos que ronda los 744.000 euros (algo más de 805.000 dólares).

Los atacantes se apropiaron de esta suma, utilizando facturas manipuladas tras hackear el correo de un alto directivo de su filial online. La empresa ya había sufrido una brecha de seguridad en España a finales de 2020 y, en este caso, los hechos se remontan al primer semestre de 2022.

A través de la cuenta de correo de un alto directivo de la empresa, los atacantes “se hicieron pasar por agentes del equipo comercial de Codere Online”, y enviaron a diversos proveedores del grupo “solicitudes de pago ilegítimas, adjuntando facturas manipuladas”.

El resultado es que Codere Online debió que reconocer en sus cuentas que ha realizado “determinados pagos de facturas pendientes, por un importe aproximado de 744.000 euros, a cuentas en el extranjero controladas por el suplantador”, y no por sus verdaderos proveedores, según explicó Codere a las autoridades norteamericanas.

La compañía señaló que se puso en contacto con los bancos involucrados en las transferencias, ni bien tuvo conocimiento de los hechos, pero “hasta la fecha, Codere Online ha recuperado una mínima parte” de esa cifra.

Según los responsables de Codere, se trata de “un evento aislado” y, con este ciberataque, “no se pusieron en riesgo los depósitos de cuenta de los usuarios ni sus contraseñas”, ni se accedió a los datos confidenciales de sus usuarios.

“Codere Online continúa persiguiendo la recuperación de las cantidades transferidas”, y “puede estar limitada en la información que puede divulgar” sobre este caso, “ya que actualmente está considerando acciones legales”, explicaron desde la compañía, en un documento que acaba de remitirse a la SEC. El grupo se ha comprometido a detallar las medidas adoptadas para remediar esta situación en su informe anual.

Tras una investigación interna, la compañía explicó que, pese a que los atacantes tuvieron acceso a la información de la cuenta de correo de este alto directivo, salvo por los datos disponibles en ella, “no hay evidencia” de que se haya tenido acceso a ninguna información corporativa de la compañía, incluyendo la financiera o contable.

Esa investigación, añade el informe, “no ha encontrado pruebas de la involucración de ningún empleado de la compañía” en el fraude. Pero la dirección de la compañía ha tenido que reconocer a la SEC la existencia de diversas “debilidades” en sus controles internos.

En primer lugar, “en el control interno sobre la información financiera” de la filial, por un “diseño inefectivo” y controles insuficientes sobre su sistema de pagos; y en segundo lugar, por la incapacidad de sus sistemas de ciberseguridad para evitar el ataque.

Así, la empresa reconoció que “Codere Online no mantuvo controles efectivos” sobre sus sistemas de tratamiento de la información, “como consecuencia de la existencia de ciertas debilidades materiales en el control interno” sobre el reporte de su información financiera.

En paralelo, Codere asegura que tras el incidente, esos controles internos se han “mejorado” y se ha comprometido con la SEC a ampliarlos. Es, asegura, una de las “principales prioridades” de su equipo gestor. El grupo dijo a la SEC que este tipo de ataques informáticos “son, por naturaleza, tecnológicamente sofisticados y podrían ser imposibles de detectar y combatir”.

Además, la compañía asumió este ciberataque después de que, en noviembre de 2020, notificase a la Agencia Española de Protección de Datos (AEPD) la existencia de una brecha de seguridad en sus sistemas informáticos.

En este caso, Codere detectó tres consultas sospechosas desde el servidor de uno de sus data centers a la base de datos que recopila las cuentas de sus jugadores online. En ella se recogen datos sensibles como códigos de usuario, contraseña encriptada, DNI, nacionalidad, país de residencia, profesión, nombre y apellidos, datos de localización y contacto (dirección postal, dirección de correo electrónico, teléfono), profesión, saldos en cuenta o número de cuenta bancaria.

La AEPD constató en junio de 2021 que se había producido un quiebre en la seguridad de datos personales en los sistemas de Codere, pero archivó las actuaciones tras comprobar que no se habían detectado incidentes ni anomalías, ni actividades sospechosas en las cuentas de los usuarios.

Según la AEPD, Codere “disponía de medidas de seguridad razonables” y reaccionó de forma “diligente” para minimizar su impacto y evitar que se repita en el futuro. El grupo reconoció que esta fue “la primera ocasión en la que se produce una brecha de seguridad de datos personales”. Inicialmente, notificó que habían podido verse afectados los datos de los 599.556 clientes que tenía registrados a esa fecha. Pero tras una auditoría externa, cifró el número de posibles afectados en 64.281, a los que se informó por correo de esa brecha de seguridad.

Codere fue sancionada el pasado mes de diciembre por la Comisión Nacional del Mercado de Valores (CNMV) con una multa de 100.000 euros, por una infracción “muy grave” de la normativa del mercado de valores español, al or incluir información “no veraz y engañosa” sobre los resultados de sus filiales en México, Colombia y Panamá, tras la apertura de un expediente sancionador en septiembre de 2021. La matriz del grupo dejó de cotizar en España a finales de ese año.