La investigación de la **PIPC** reveló que la información personal de aproximadamente 37.55 millones de individuos fue comprometida debido a prácticas de seguridad inadecuadas. Estas deficiencias incluyeron negligencia en la gestión de claves de autenticación y controles de acceso insuficientes. **Coupang Fulfillment Service**, una subsidiaria, también recibió una multa de 248 millones de wones por la recolección, uso y manejo ilícito de datos sensibles de clientes. Más allá de las deficiencias de seguridad, la **PIPC** citó a **Coupang** por violaciones relacionadas con los requisitos de destrucción de datos y notificación de fugas. El regulador también encontró evidencia de interferencia con la independencia del oficial de protección de datos de **Coupang** y obstrucción de la investigación en curso. "La información personal de aproximadamente 37.55 millones de personas se filtró debido a un sistema de gestión de seguridad básico insuficiente, incluida la negligencia en la gestión de claves de firma de autenticación y el control de acceso", declaró la **PIPC**. "En cuanto a la violación de las obligaciones de medidas de seguridad por parte de **Coupang** y la recolección de información personal sin base legal, se impuso una multa de 624.681 mil millones de wones y una multa de 16.8 millones de wones, además de órdenes correctivas, anuncios y órdenes de publicación". **Coupang**, una empresa minorista en línea estadounidense con operaciones significativas en Corea del Sur, emplea a 95,000 personas y presume de ingresos anuales superiores a los $30 mil millones. ### Esfuerzos de compensación en marcha A finales de diciembre, **Coupang** anunció planes para asignar 1.685 billones de wones (aproximadamente $1.17 mil millones) para la compensación de clientes. Esta iniciativa implicará la distribución de vales de compra de un solo uso, cada uno valorado en 50,000 wones (alrededor de $34), a más de 33 millones de clientes afectados a partir de enero de 2026. ### Descubrimiento de la brecha y detalles del sospechoso Este incidente, una de las brechas de datos más significativas en la historia de Corea del Sur, ocurrió a finales de junio pero no se detectó hasta mediados de noviembre. Fue entonces cuando **Coupang** reveló que 33.7 millones de cuentas habían sido comprometidas. Las autoridades surcoreanas, que asumieron la investigación, identificaron a un ciudadano chino de 43 años como el principal sospechoso. Se cree que esta persona, un ex empleado del departamento de TI de **Coupang** entre 2022 y 2024, es responsable de la brecha. **Coupang** informó posteriormente que el ex empleado devolvió múltiples discos duros que contenían datos sensibles. El sospechoso también intentó destruir evidencia desechando una laptop **MacBook Air** en un río, aunque el dispositivo fue recuperado posteriormente. La empresa añadió que, si bien el sospechoso accedió a millones de cuentas, supuestamente conservó datos de usuarios de aproximadamente 3,000 cuentas, los cuales han sido eliminados de todos los dispositivos y no transferidos a terceros. ### Panorama más amplio de incidentes de ciberseguridad en Corea Este incidente sigue a otro evento de seguridad importante en Corea del Sur. En abril, **SK Telecom**, el mayor operador de redes móviles del país, advirtió a los clientes que datos sensibles de **USIM** habían sido expuestos debido a un ataque de malware en su red. La empresa reveló más tarde que el malware había estado presente en sus sistemas desde junio de 2022, afectando finalmente a 27 millones de suscriptores, casi toda su base de clientes.