Puntos clave:
El regulador de privacidad de Corea del Sur impuso una multa récord de $410 millones a Coupang por una filtración de datos que afectó a 37.6 millones de usuarios, la mayor sanción corporativa de este tipo en el país.
La Comisión de Protección de Información Personal de Corea del Sur (PIPC) multó el jueves a Coupang con 624.68 mil millones de wones ($410.1 millones) por una filtración de datos que afectó a 37.6 millones de usuarios, la mayor sanción corporativa por privacidad en la historia del país.
"Este incidente no fue causado por técnicas sofisticadas de pirateo informático, sino por el sistema inadecuado de gestión de seguridad básica y la negligencia de Coupang", declaró Kyung Hee Song, presidenta de la PIPC, en una rueda de prensa.
La multa asciende al 1.4% de los 45 billones de wones en ingresos de Coupang en 2025, según cálculos de Reuters. Un exempleado desarrollador de software chino conservó una clave de autenticación después de dejar la empresa, lo que permitió un acceso no autorizado durante aproximadamente un año hasta que Coupang detectó la filtración en noviembre de 2025. El perpetrador accedió a nombres, números de teléfono y códigos de llave de edificios residenciales, pero no a datos de tarjetas de crédito ni de identificación gubernamental, según Coupang. El regulador también determinó que la empresa recopiló ilegalmente datos de actividad en línea de aproximadamente 11 millones de clientes a través de un programa de marketing sin su consentimiento.
La sanción añade presión regulatoria sobre el gigante del comercio electrónico con sede en Seattle, que controla aproximadamente el 40% del mercado logístico de Corea del Sur, y se produce mientras Washington y Seúl continúan las negociaciones comerciales. Coupang declaró que lamenta la decisión y espera que los hechos "queden claramente establecidos mediante procedimientos legales", insinuando una posible apelación.
Las acciones de Coupang cayeron un 4.97% en la Bolsa de Nueva York tras el anuncio, reflejando la preocupación de los inversores por el impacto financiero y reputacional. La empresa, constituida en Delaware pero que obtiene la mayor parte de sus ingresos de Corea del Sur, había declarado previamente que reforzaría sus sistemas de protección de datos.
La PIPC señaló que Coupang no logró detectar la filtración dentro del plazo de 72 horas exigido por la ley surcoreana. Song señaló que el sistema de seguridad de la empresa permitió al pirata informático acceder fácilmente a la información personal de todos los clientes incluso después de que el sospechoso hubiera dejado la empresa, y que Coupang solo se percató del tráfico inusual de datos tras una consulta de un cliente.
La investigación había atraído la atención de funcionarios comerciales estadounidenses por la preocupación de que las autoridades surcoreanas hubieran extralimitado su tratamiento de la empresa cotizada en EE. UU. Corea del Sur ha mantenido que la investigación no era un problema comercial ni de seguridad y que debía tratarse por separado de las conversaciones bilaterales en curso.
La multa supera con creces las sanciones anteriores por filtración de datos impuestas a empresas surcoreanas como SK Telecom y KT, lo que indica una escalada significativa en la aplicación de medidas por parte de la PIPC. La última sanción comparable —una multa de 7.5 mil millones de wones contra SK Telecom en 2023 por una filtración de datos que afectó a 19 millones de usuarios— fue inferior al 2% del monto actual, lo que subraya la postura más severa del regulador.
Este artículo es solo para fines informativos y no constituye asesoramiento de inversión.
