La Comisión de Protección de Información Personal de Corea del Sur (PIPC) ha impuesto una multa récord de 624.700 millones de wones (equivalente a unos 409 millones de dólares, ≈ 385 millones de euros) a Coupang, la principal plataforma de comercio electrónico del país. El fallo, anunciado el 11 de junio, es la sanción más elevada de la historia de Corea por una brecha de datos y supera en más del cuádruple a la anterior multa récord, que fue de 134.800 millones de wones impuesta a SK Telecom el año pasado. Lo publica TechCrunch ayer.
¿Qué pasó exactamente con los datos de Coupang?
La brecha involucró los datos personales de 37,5 millones de personas —aproximadamente dos tercios de la población total de Corea del Sur—, e incluyó nombres, datos de contacto, direcciones de entrega e historiales de pedidos. La primera estimación interna de Coupang cifró los afectados en torno a 4.500 cuentas; las auditorías posteriores revelaron que la escala real era millones de veces mayor.
Según las conclusiones de la PIPC, la causa raíz no fue un ataque sofisticado sino fallos básicos de gestión de seguridad: control deficiente de claves de autenticación y controles de acceso insuficientes. Un exempleado con acceso privilegiado a los sistemas pudo consultar millones de cuentas sin que se dispararan las alertas de detección. Los investigadores tardaron meses en descubrirlo.
La presidenta de la PIPC, Kyung Hee Song, fue directa en su valoración: «Este incidente no fue causado por un método de hackeo sofisticado, sino por un sistema básico de gestión de seguridad de la información inadecuado y una gestión negligente. La empresa creció rápidamente utilizando datos de clientes a gran escala para ofrecer servicios de comercio electrónico innovadores, pero la investigación encontró que su protección de la información personal y su gestión no estaban al nivel de esa escala».
La PIPC desglosó la sanción: 423.600 millones de wones por la fuga de datos personales y 201.100 millones de wones por la recopilación no consentida de datos de actividad online de aproximadamente 11 millones de usuarios. La filial logística Coupang Fulfillment Services recibió una multa adicional de 248 millones de wones por recopilar ilegalmente información personal y usarla para incluir personas en una lista de restricción de empleo.
¿Por qué la brecha tardó tanto en conocerse?
Coupang descubrió la actividad sospechosa inicialmente y notificó a los afectados indicando que «solo» 4.500 cuentas habían sido comprometidas. La escala real no se confirmó hasta meses después, cuando auditores internos revisaron los logs completos del sistema. Este patrón —primera estimación optimista seguida de una corrección masiva al alza— es exactamente el que reguladores de todo el mundo están intentando penalizar con más fuerza porque genera una falsa sensación de seguridad entre los afectados.
La situación también creó fricciones diplomáticas con EE.UU., ya que Coupang es una empresa con cotización americana (NASDAQ: CPNG) y las investigaciones de sus prácticas de ciberseguridad implicaron a reguladores de ambos países. La empresa ha anunciado que revisará el fallo legal y considera impugnar partes de la resolución.
Como compensación a los usuarios afectados, Coupang ya había anunciado en diciembre de 2025 el pago de 1,685 billones de wones (aproximadamente 1.170 millones de dólares, ≈ 1.100 millones de euros) y la distribución de bonos de compra de 50.000 wones (≈ 34 dólares) a más de 33 millones de afectados desde enero de 2026. La multa de hoy es adicional a esa compensación.
El caso de Booking.com en abril de 2026 mostraba el mismo patrón: empresa grande que retrasa la notificación y minimiza el alcance inicial, pero las consecuencias regulatorias en Corea llegan a una escala completamente diferente.
¿Qué implica esta multa para el resto de la industria?
La legislación coreana permite multas de hasta el 3% de las ventas anuales relevantes. Coupang, con ingresos anuales superiores a 30.000 millones de dólares (≈ 28.200 millones de euros) en el mercado coreano, estaba expuesta a sanciones potenciales de cerca de 770 millones de dólares. La PIPC optó por una cifra más moderada, pero el nivel de 409 millones convierte a Corea en uno de los reguladores de protección de datos más activos del mundo.
La comparación con Europa es inevitable. La multa de 1.200 millones de euros a Meta por transferencia de datos a EE.UU. fue hasta ahora la mayor en territorio europeo bajo el RGPD. Meta también recibió una sanción histórica en la UE por la transferencia de datos de usuarios europeos a Estados Unidos. Corea acaba de demostrar que en ciertos casos —brechas internas por negligencia— está dispuesta a llegar a niveles comparables.
El precedente que más inquieta a la industria del e-commerce no es la cifra en sí sino la mecánica: si la brecha fue causada por negligencia interna en controles de acceso, no por un ataque externo sofisticado, eso significa que cualquier plataforma con empleados con acceso privilegiado a bases de datos de clientes es vulnerable al mismo tipo de exposición.
Llevo cubriendo brechas de datos desde el escándalo de Sony PlayStation Network en 2011, y el patrón de Coupang —subestimación inicial masiva, negligencia en controles básicos, escala de afectados cercana a la población total del país— es de los más graves que he visto. Las mayores multas por filtraciones de datos históricamente han afectado a redes sociales por uso indebido de datos; que ahora un marketplace de e-commerce reciba una sanción comparable cambia el paisaje de riesgo del sector.
Mi valoración
Lo que más me convence de la actuación de la PIPC es la transparencia metodológica. El desglose entre la multa por la fuga de datos y la multa por la recopilación no consentida clarifica exactamente qué se está penalizando. No es un número global: es una cuenta de dos facturas separadas con responsabilidades distintas.
Lo que más me preocupa es que Coupang tardará meses en resolver el proceso de impugnación, y mientras tanto la compensación a los 33 millones de afectados —que ya está en marcha— puede quedar eclipsada por la disputa legal sobre la multa, desplazando el foco de las víctimas reales.
Lo más estructuralmente significativo es la señal que esto envía a cualquier empresa de e-commerce con escala similar en Asia, Europa o América. La combinación de multa por negligencia interna más compensación directa a afectados ya supera los 1.500 millones de dólares para Coupang. Ese nivel de riesgo financiero hace que la inversión en controles de acceso básicos —rotación de claves, monitorización de accesos privilegiados— sea urgente, no discrecional.
La pregunta a 12 meses no es si Coupang pagará la multa íntegramente (probablemente negocie una reducción en el proceso de apelación), sino si la PIPC continuará este nivel de actividad contra otras plataformas con brechas similares. Mi predicción: sí, y Corea se consolidará como uno de los dos o tres reguladores más activos del mundo en materia de datos junto con la UE.
Preguntas frecuentes
¿Qué es Coupang y a quién afectó la brecha?
Coupang es la principal plataforma de comercio electrónico de Corea del Sur, comparable en su mercado a Amazon en EE.UU. Cotiza en el NYSE, emplea a 95.000 personas y tiene ingresos anuales superiores a 30.000 millones de dólares. La brecha afectó a 37,5 millones de personas, lo que representa aproximadamente el 73% de la población del país.
¿Qué datos estuvieron expuestos?
La PIPC confirmó que se expusieron nombres, datos de contacto, direcciones de entrega e historiales de pedidos. Además, la filial logística Coupang Fulfillment Services recopiló ilegalmente datos de actividad online de 11 millones de usuarios sin su consentimiento y los usó para incluir personas en una lista de restricción de empleo, lo que generó una multa adicional.
¿Recibirán compensación los afectados?
Coupang ya anunció en diciembre de 2025 un plan de compensación que incluía el pago de 1,685 billones de wones y la distribución de bonos de compra de 50.000 wones (≈ 34 dólares) a más de 33 millones de clientes afectados, con inicio de distribución en enero de 2026. Esta compensación es independiente de la multa regulatoria anunciada hoy.