Datos de millones de pedidos y miles de 'riders', a la venta: Glovo reconoce la filtración, que se originó en el hackeo que sufrió el año pasado

- Actualizado:
Un repartidor de Glovo frente a la puerta de un establecimiento de McDonald's, una pieza clave en la expansión de la catalana.
Un repartidor de Glovo frente a la puerta de un establecimiento de McDonald's, una pieza clave en la expansión de la catalana.

Una enorme base de datos con información extraída de Glovo está a la venta en un conocido foro de hacking. El primero en señalarlo ha sido una cuenta especializada en información sobre lo que ocurre en la dark web, aunque Business Insider España ha podido comprobar que la oferta de venta de la base de datos existe en este prestigioso foro del que son habituales ciberdelincuentes.

Glovo, por su parte, ha reconocido que la filtración es real en tanto que fue explotada en el ciberataque que ya reconocieron en abril de 2021, cuando un atacante logró acceso privilegiado y no autorizado a uno de sistemas debido a un panel de administración viejo.

"Tras el hallazgo de la brecha en abril de 2021, todos los accesos a la información fueron bloqueados. Aunque el atacante logró acceder a detalles como el IBAN [de algunos de sus riders] por un pequeño período de tiempo, no se expuso ningún dato relacionado con las tarjetas de crédito y débito, ya que no almacenamos ese tipo de información y las contraseñas son cifradas", explica la compañía.

"En Glovo nos tomamos la seguridad muy en serio. La investigación sobre este asunto concluyó en 2021 y fue acompañada de una auditoría completa sobre la integridad de nuestros sistemas. También contactamos la Agencia Española de Protección de Datos y les ofrecimos toda la información que requirieron para su investigación", continúan.

La respuesta, que ha trascendido varios días después —la oferta de la base de datos en venta se colgó en el foro el 30 de julio—, algunos expertos ya han presentado escritos ante la propia Agencia de Protección de Datos. Por su parte, la multinacional incide: "Estamos tomando medidas de forma proactiva para eliminar estos datos dada su reaparición".

La base de datos incluye información sobre 5.790.563 pedidos de clientes, con información sobre sus descripciones, su cliente, el repartidor o su tiempo de entrega; pero también recoge la información sobre 21.379 trabajadores de la startup de origen español así como otros 37.509 registros sobre los ridersque trabajan o han prestado sus servicios para la compañía.

Como viene siendo habitual, el ofertante de esta base de datos ha incluido imágenes en su publicación en el foro para demostrar su tenencia, y en las mismas se puede apreciar la sensibilidad de los datos filtrados en esta enorme base de datos ahora a la venta. Por ejemplo, de los más de 37.000 riders afectados se incluye hasta su dirección IBAN bancaria.

Esa base de datos de más de 37.000 riders es una filtración en texto HTML plano extraída de una sesión de administrador de los sistemas de Glovo, e incluye el nombre completo, la dirección postal, el número de teléfono, el correo electrónico, el IBAN y el método de transporte que emplean esos miles de repartidores afectados.

En el paquete ofertado se incluyen también datos relacionados con incidentes abiertos ante el sistema de reparto de McDonald, que trabaja con Glovo en países como España (un botín que hizo que Deliveroo se marchara del mercado nacional, por ejemplo). Los tickets abiertos por usuarios que han hecho pedidos en línea para la famosa multinacional de comida rápida incluyen datos de todo tipo.

Por ejemplo, en la información filtrada de esos tickets se incluyen desde el identificador del pedido a la dirección del establecimiento, la razón, los productos afectados, por qué se ha abierto el ticket, y qué soluciones se han propuesto al cliente: desde reembolsos a cambios de artículos.

La persona que está ofreciendo esta base de datos en la dark web no ha puesto ningún precio, más allá de animar a los interesados a que contacten con él mediante una dirección de correo electrónico alojada en Protonmail. "Importante: esta es una base de datos exclusiva. Voy a venderla una sola vez", advierte, lo que encarecería su precio en este singular mercado de datos filtrados.

Se desconoce el alcance de esta enorme filtración de datos más allá de lo que ha comunicado el usuario que vende la misma. El año pasado trascendió que un criminal informático había tenido acceso a los sistemas de Glovo e incluso vender cuentas tanto de riders como de clientes a las que incluso había logrado cambiarles sus contraseñas.

No se sabe tampoco si el origen de esta base de datos hunde sus raíces en esa brecha que se detectó en mayo de 2021. En la última Nochevieja se conoció también una operación corporativa que marcaba el destino de la multinacional con origen barcelonés: la alemana Delivery Heroo se hacía con el control de la compañía en una transacción valorada en 2.300 millones.

El mercado del delivery alcanzará una valoración en todo el mundo de casi 200.000 millones de dólares para 2026, según algunas consultoras. Los desafíos del sector para este año son enormes, sin embargo, el crecimiento vertiginoso del mismo es una realidad que también atrae a los ciberdelincuentes. Ellos también quieren hacer negocio.

Descubre más sobre , autor/a de este artículo.

Conoce cómo trabajamos en Business Insider.