Protección de Datos sanciona a la cadena por no establecer las medidas de seguridad necesarias para evitar el robo de datos de sus clientes en seis ciberataques que utilizaron exactamente la misma técnica. La técnica utilizada por los ciberdelincuentes fue el “credential stuffing”, un tipo de ataque que, en lugar de intentar desentrañar las contraseñas de los usuarios con fuerza bruta informática, se basa en el uso automatizado de combinaciones de correos electrónicos y contraseñas previamente filtradas en otras brechas de seguridad.