Glovo sufre un ciberataque: un criminal logró acceder a la plataforma y vender cuentas de 'riders' y usuarios a los que incluso podía cambiarles la contraseña

Glovo también ha sido víctima de un ciberataque. Lo ha avanzado Forbes, después de que una firma de ciberseguridad llamada Hold Security alertase a su redacción. "El 29 de abril detectamos en uno de nuestros sistemas un acceso no autorizado por parte de un actor malicioso", reconocía un portavoz de la startup barcelonesa al mismo medio.

Aunque la compañía no ha abundado en más detalles —más allá de advertir que no se han visto afectados datos bancarios o de tarjetas de crédito—, según Forbes el ciberdelincuente logró acceder a la plataforma tecnológica y usurpar cuentas tanto de usuario como de rider, que posteriormente vendía a terceros. El criminal tenía la posibilidad incluso de cambiar las contraseñas de dichas cuentas.

Glovo recibió el jueves el aviso de que un delincuente estaba aprovechándose de una vulnerabilidad en sus sistemas TI. La compañía reaccionó este lunes confirmando el incidente y asegurando que ya habían reparado dicha vulnerabilidad. Sin embargo, y según Forbes, el ciberdelincuente seguía vendiendo el acceso a las redes de Glovo.

Oleada de ciberataques a altas instituciones del Gobierno: las páginas del INE y varios ministerios, caídas durante horas

"El actor involucrado pudo acceder a través de una vieja interfaz de administración de sistemas. Tan pronto como descubrimos la brecha y la actividad sospechosa, emprendimos los pasos necesarios para bloquear cualquier acceso y tomamos medidas adicionales para segurizar la plataforma", incide el portavoz de Glovo en declaraciones a Forbes.

El de Glovo es el enésimo incidente informático que se registra en lo que va de año. Solo en España se han visto gravemente servicios como el SEPE o el Ayuntamiento de Castellón, que sufrieron ataques con ransomware, un tipo de código malicioso que cifra archivos y dispositivos de sus víctimas y luego pide un rescate si estas quieren recobrar la normalidad.

Aunque en este tipo de incidentes además se roba información sensible, el SEPE logró blindar sus archivos y no sufrir ningún tipo de asalto. El Ayuntamiento de Castellón no corrió la misma suerte y los criminales publicaron en internet datos y archivos secretos de ciudadanos de Castellón debido a que el consistorio decidió no pagar el rescate.

El ataque que habría sufrido Glovo no parece tan sofisticado: un ciberdelincuente ha aprovechado su vulnerabilidad para robar cuentas tanto de riders como de clientes pero sin acceder a los datos de las tarjetas de crédito. 

De momento la startup no ha dado más detalles, aunque este incidente tiene lugar apenas unas semanas después de que la firma española anunciase su mayor ronda de financiación de la historia: una Series F en la que levantaron 450 millones de euros. Y también después de que la startup anunciase que abandonaba la CEOE, la patronal española, por desavenencias precisamente con la controvertida Ley Rider.