La **PIPC** anunció su decisión tras una sesión plenaria, concluyendo que la brecha no fue el resultado de un sofisticado hackeo externo, sino más bien de "deficiencias en la gestión básica de seguridad" en **Coupang** y su subsidiaria logística, **Coupang Fulfillment Services**. Esta multa récord supera el anterior máximo de 134.8 mil millones de wones (88.8 millones de dólares) impuesta a **SK Telecom** a principios de este año, lo que subraya la gravedad de las fallas de privacidad de **Coupang**. ### Anatomía de una Brecha La brecha, que salió a la luz por primera vez en noviembre, afectó inicialmente a aproximadamente 33.7 millones de cuentas de clientes. La investigación de la **PIPC** confirmó que 33,222,472 miembros registrados fueron afectados. Crucialmente, también identificó al menos 4,338,368 no miembros cuyos datos (nombres, números de teléfono, direcciones) se almacenaron como destinatarios de entrega sin su conocimiento o consentimiento. **Coupang** no notificó a estas víctimas no miembros a pesar de cuatro solicitudes formales del regulador en diciembre de 2025 y enero de 2026. ### Trabajo Interno y Exfiltración de Datos El perpetrador fue identificado como un ciudadano chino sin nombre, un ex empleado que dejó **Coupang** a finales de 2024. Mientras aún estaba empleado, desarrolló el sistema de autenticación alternativo de **Coupang** y robó la clave de firma subyacente antes de su partida. Su ataque comenzó en enero de 2025 con una prueba en 95 cuentas. A partir de abril, recolectó sistemáticamente datos, accediendo a la página de direcciones de entrega de **Coupang** aproximadamente 148 millones de veces durante dos meses para recopilar nombres, números de teléfono y direcciones. Esto fue seguido por casi 35 millones de accesos a la página de edición de cuentas entre junio y octubre para obtener nombres y direcciones de correo electrónico. Una fase final se dirigió a los códigos de entrada de apartamentos e historiales de pedidos. El ex empleado posteriormente reensambló los datos robados en perfiles de clientes individuales y envió correos electrónicos de extorsión directamente a los miembros y a **Coupang**, afirmando poseer 120 millones de direcciones, 560 millones de registros de pedidos y más de 33 millones de direcciones de correo electrónico, completos con historiales de compras sensibles como datos de muestra. ### Advertencias Ignoradas y Manipulación de Evidencia A pesar de que el ataque de siete meses generó picos de tráfico significativos y millones de intentos de acceso utilizando identificadores de miembros inexistentes, **Coupang** permaneció ajeno hasta que un cliente reenvió un correo electrónico de extorsión. Más preocupante aún, la **PIPC** ha remitido a **Coupang** para enjuiciamiento penal por destrucción de evidencia. Los reguladores ordenaron la preservación de los registros de acceso el 21 de noviembre, el día después del informe inicial de la brecha de **Coupang**. Sin embargo, seis días después, la empresa eliminó manualmente aproximadamente seis meses de registros de acceso web. Además, **Coupang** no detuvo su política de rutina de eliminar automáticamente los registros después de seis meses, lo que resultó en la pérdida de aproximadamente el 13% de los registros que cubrían el período del ataque, obstaculizando la identificación de todas las víctimas afectadas. En un giro dramático, la policía recuperó por separado un **MacBook Air** destrozado y lastrado con ladrillos de un río, un aparente intento del presunto perpetrador de destruir evidencia. Los equipos forenses de **Mandiant**, **Palo Alto Networks** y **Ernst & Young** documentaron con éxito su contenido antes de entregarlo a las autoridades. ### Descubiertas Violaciones Adicionales Una investigación ampliada en enero de 2026, impulsada por audiencias parlamentarias y cobertura mediática, descubrió varias otras violaciones significativas: * **Recopilación Encubierta de Datos de Navegación:** A través de su programa de marketing de afiliados “Coupang Partners”, la empresa recopiló encubiertamente actividad de navegación de terceros (URLs, nombres de aplicaciones, marcas de tiempo, direcciones IP, identificadores de dispositivos) de aproximadamente 11.2 millones de usuarios sin consentimiento, vinculando estos datos a cuentas de miembros individuales. **Coupang** argumentó que no eran datos personales, pero el regulador no estuvo de acuerdo, imponiendo una multa adicional de 201.1 mil millones de wones (132 millones de dólares) por esta violación. Los registros fueron eliminados en abril de 2026 después de que los investigadores confrontaran a la empresa. * **"Hijack Ads":** Algunos socios publicitarios del mismo programa ejecutaron "hijack ads", redirigiendo a los usuarios a **Coupang** sin consentimiento, a veces superponiendo botones transparentes. **Coupang** estaba al tanto de esto desde 2022 pero no terminó las cuentas infractoras y, en algunos casos, pagó comisiones más altas a los socios sorprendidos en la práctica. * **Lista Negra de Periodistas:** **Coupang Fulfillment Services** agregó secretamente a 71 periodistas de la prensa policial a una lista negra interna de empleados, citando "difusión de información falsa", a pesar de que ninguno había trabajado en un almacén de **Coupang**. Esto se hizo sin su conocimiento o consentimiento. * **Uso Indebido de Datos de Salud:** La subsidiaria logística también presentó los datos de peso de los empleados, recopilados para la gestión de la salud, como evidencia en una demanda por accidente laboral sin una base legal separada. * **Compromiso de la Independencia del CPO:** Durante su investigación interna del hacker en diciembre de 2025, **Coupang** excluyó por completo a su Director de Privacidad (CPO). Los reguladores consideraron esto una violación sustantiva de la independencia legalmente exigida del CPO. El CEO interino de **Coupang**, **Harold Rogers**, quien fue interrogado por la policía en enero como sospechoso en una investigación de obstrucción, prometió plena cooperación. Sin embargo, la empresa ha expresado su pesar por la decisión de la **PIPC** y se reserva el derecho de impugnarla legalmente. Los procedimientos de mediación de disputas que involucran a más de 2,500 reclamantes se reanudarán, y una demanda colectiva en los Estados Unidos permanece pendiente. Las acciones de **Coupang** han caído aproximadamente un 35% desde principios de año, y la empresa enfrenta un escrutinio continuo por parte de los legisladores surcoreanos.