Proponen suspender a Lotte Card por una filtración masiva de datos

El Servicio de Supervisión Financiera (FSS) del país ya notificó formalmente a la empresa de tarjetas de crédito. Le comunicó su intención de imponer sanciones. Estas incluyen una propuesta de suspensión de actividades por 4.5 meses y una multa de 5,000 millones de wones. Esta medida se suma a otra fuerte multa del organismo de control de la privacidad del país. Además, muestra una postura de cero tolerancia ante las fallas de seguridad de datos en el sector financiero.

La reacción de los reguladores se debe a un ataque informático en 2025. Este incidente expuso los datos de aproximadamente 2.97 millones de usuarios de Lotte Card. Esa cifra representa casi un tercio de su base de clientes. La filtración fue especialmente grave. Incluía información muy sensible, como los números de registro de residente de 450,000 personas. También se filtraron los números de tarjeta, fechas de vencimiento y códigos de seguridad CVC de unos 280,000 clientes. Los investigadores descubrieron que el ciberataque aprovechó una vulnerabilidad de seguridad conocida. Dicha falla no había sido corregida desde 2017. También se supo que la empresa almacenaba información crítica, como los números de registro social, en texto plano y sin cifrar.

Este es el segundo gran golpe regulatorio para Lotte Card este año. En marzo, la Comisión de Protección de Información Personal (PIPC) le impuso una multa de 9,620 millones de wones. Su propia investigación concluyó que la empresa había violado la Ley de Protección de Información Personal. La investigación del FSS se centró más específicamente en violaciones de leyes financieras. Estas incluyen la Ley de Información Crediticia y la Ley de Transacciones Financieras Electrónicas. El FSS examinó la magnitud de la filtración y las fallas en los protocolos de seguridad. Las sanciones propuestas están ahora en revisión. La decisión final será confirmada por la Comisión de Servicios Financieros, el organismo superior.

El incidente y las acciones regulatorias han puesto bajo la lupa la gestión y el historial operativo de Lotte Card. La empresa ya había sido calificada como "deficiente" en protección al consumidor por el FSS en diciembre de 2025. El motivo fueron problemas con la protección de datos. Informes del año pasado también señalaron medidas de seguridad inadecuadas. Indicaban que la empresa tenía el menor número de personal de TI en la industria de tarjetas de crédito. Esto sugiere que la filtración fue el resultado predecible de debilidades sistémicas. El accionista mayoritario de la compañía, la firma de capital privado MBK Partners, también ha sido criticado. Se le acusa de no invertir lo suficiente en la infraestructura de TI de la empresa desde su adquisición.

Si se aprueban las sanciones propuestas por el FSS, Lotte Card tendrá prohibido captar nuevos clientes. Tampoco podrá lanzar nuevos negocios secundarios durante la suspensión. Esto supondría un duro golpe para sus operaciones y su posición en el mercado. La medida es vista como una de las sanciones más severas desde el evento de filtración de datos que sacudió a la industria de tarjetas de Corea del Sur en 2014. Esto resalta la creciente presión sobre las instituciones financieras para que protejan los datos de los consumidores o se enfrenten a graves consecuencias. Por ahora, la industria observa con atención. La decisión final de la Comisión de Servicios Financieros no solo determinará el futuro inmediato de Lotte Card. También establecerá un nuevo estándar de responsabilidad regulatoria.