Coupang, la mayor plataforma de comercio electrónico de Corea del Sur, vio cómo sus acciones se desplomaban más de un 16 % el 6 de mayo de 2026. Esto ocurrió tras reportar una pérdida neta de 266 millones de dólares en el primer trimestre, consecuencia directa de la masiva filtración de datos de 2025 que expuso la información de 33,7 millones de clientes. El colapso bursátil llegó justo cuando la empresa comenzó a ejecutar su plan de compensación de 1.170 millones de dólares.
Cómo ocurrió la filtración
El incidente se remonta al 24 de junio de 2025, cuando un ex-empleado de TI de Coupang mantuvo acceso no autorizado a los sistemas tras ser despedido. Utilizando servidores en el extranjero, accedió a los registros personales de aproximadamente 33,7 millones de clientes.
Los datos robados incluían nombres, números de teléfono, direcciones de entrega e historial de pedidos. Aunque Coupang confirmó que los datos fueron recuperados sin evidencia de distribución externa, el daño real fue reputacional y financiero.
La controversia central fue el retraso: Coupang no notificó a los usuarios hasta noviembre de 2025, cinco meses después del ataque. Esto provocó la dimisión de Park Dae-jun, jefe de operaciones de e-commerce en Corea del Sur.
El plan de compensación de $1.170 millones
En diciembre de 2025, Coupang anunció la emisión de vales de compra por 50.000 wones (aprox. $34.84) para cada afectado. Sin embargo, grupos de consumidores criticaron la medida calificándola de "herramienta de marketing", ya que obliga a las víctimas a volver a comprar en la plataforma que falló en protegerlos.
Amenazas internas: El riesgo olvidado
El caso Coupang es un ejemplo de manual sobre "insider threats". No fue un ataque externo sofisticado, sino un fallo en la revocación de accesos.
- Revocación inmediata: Las credenciales y VPN deben cancelarse al instante tras un despido.
- Monitoreo de accesos: Los registros deben alertar sobre actividad en cuentas que deberían estar inactivas.
- Principios Zero-Trust: Tratar cada acceso como un riesgo potencial reduce drásticamente la superficie de ataque.
El uso de una VPN en el día a día protege la navegación a nivel de red, asegurando que tus datos permanezcan cifrados incluso si una plataforma individual sufre un incidente.
