Corea multa a Coupang con 409 millones de dólares en una sanción récord por filtración de datos

Lo que realmente expuso la filtración de Coupang: 37 millones de usuarios y sumando

La Comisión de Protección de Información Personal de Corea del Sur (PIPC) ha impuesto una multa histórica de 624.6 mil millones de wones, aproximadamente 409 millones de dólares, a Coupang, la mayor plataforma de comercio electrónico del país. La multa por la filtración de datos de Coupang en Corea es ahora la mayor sanción por privacidad jamás emitida en la historia del país, y una de las más elevadas registradas en toda Asia.

La filtración afectó a más de 33 millones de miembros registrados de Coupang y a otros 4.3 millones de no miembros, lo que eleva el número total de personas expuestas a más de 37 millones. Para ponerlo en contexto, Corea del Sur tiene una población de aproximadamente 52 millones de personas, lo que significa que la filtración alcanzó a una parte significativa de la población adulta del país. Los datos expuestos incluyen, al parecer, identificadores personales, datos de contacto e historiales de compra, el tipo de información que proporciona a los malos actores material suficiente para ejecutar ataques de phishing, relleno de credenciales y fraude de identidad.

Coupang ha anunciado su intención de emprender acciones legales contra la multa, preparando el terreno para una prolongada disputa regulatoria que podría tardar años en resolverse. La empresa cuestiona tanto la cuantía de la sanción como las conclusiones subyacentes, una respuesta cada vez más habitual cuando los reguladores imponen multas de privacidad de nueve cifras.

Cómo se compara la multa de Corea con el RGPD y las sanciones estatales de EE.UU.

La magnitud de esta sanción invita inmediatamente a compararla con las acciones de ejecución en Europa y Norteamérica. Según el Reglamento General de Protección de Datos de la Unión Europea, la multa máxima es del 4 por ciento de la facturación anual global de la empresa. La acción de la PIPC contra Coupang sugiere que los reguladores surcoreanos están dispuestos a calibrar las sanciones para disuadir de verdad a las grandes plataformas, en lugar de emitir simbólicos tirones de orejas.

En Estados Unidos, el panorama es más fragmentado. La aplicación de la ley por parte de la FTC a nivel federal tiende a ser más lenta y negociada. Sin embargo, la acción a nivel estatal se ha acelerado. Las multas por privacidad a nivel estatal en EE.UU. alcanzaron un récord de 3.425 millones de dólares en 2025, superando los totales de los cinco años anteriores juntos, lo que refleja un cambio global más amplio hacia el tratamiento de la mala gestión de datos como una seria responsabilidad financiera y no como una simple nota al pie de cumplimiento normativo.

La multa de Corea a Coupang destaca porque se impuso a un líder del mercado nacional, no a un gigante tecnológico extranjero. Históricamente, los reguladores europeos han impuesto sus mayores multas a empresas con sede en EE.UU., como Meta y Google. Cuando la plataforma de comercio electrónico insignia de un país recibe una sanción récord, indica que la aplicación de la ley está madurando más allá de los casos llamativos dirigidos contra empresas extranjeras.

Por qué las empresas recurren habitualmente las multas récord por privacidad y qué sucede después

La decisión de Coupang de impugnar la multa no es sorprendente. Recurrir las grandes sanciones regulatorias a través de los tribunales es una práctica corporativa habitual por varias razones. En primer lugar, retrasa el impacto financiero mientras avanza el litigio. En segundo lugar, las empresas a veces consiguen reducir la cantidad final, ya sea porque los tribunales aceptan motivos de procedimiento o porque las negociaciones de conciliación dan lugar a una cifra inferior. En tercer lugar, el propio recurso legal indica a accionistas y socios comerciales que la dirección está luchando en lugar de aceptar la culpa.

Este patrón se repite en los casos de privacidad de alto perfil. Tras la demanda de California contra 23andMe por una filtración que afectó a los datos genéticos de 7 millones de usuarios, los procedimientos judiciales se prolongaron mucho más allá del anuncio inicial, y la resolución definitiva incluyó un proceso de quiebra y una venta de activos en lugar de un simple pago de la multa.

Para los reguladores, las multas impugnadas siguen cumpliendo una función. Incluso si Coupang finalmente paga una cantidad reducida, la cifra de la multa comunica a otras grandes plataformas que operan en Corea que una mala gestión significativa de los datos conlleva un riesgo financiero real. El coste reputacional de una multa pública de este calibre también funciona como elemento disuasorio independientemente del resultado legal final.

Medidas que los usuarios preocupados por su privacidad pueden tomar tras una filtración masiva en el comercio minorista

Si usted es uno de los 37 millones de personas cuya información quedó expuesta en la filtración de Coupang, o si simplemente está reevaluando su exposición tras un caso de alto perfil como este, hay medidas concretas que vale la pena tomar de inmediato.

Cambie sus contraseñas. Si utiliza la misma contraseña en varios servicios, una filtración en un comercio crea un riesgo en todas partes. Utilice un gestor de contraseñas para mantener credenciales únicas y complejas para cada cuenta.

Active la autenticación multifactor. Incluso si su contraseña quedó expuesta, la AMF dificulta significativamente que los atacantes accedan a sus cuentas utilizando credenciales robadas.

Vigile sus cuentas financieras. Las filtraciones de comercios minoristas incluyen con frecuencia historiales de compra y, a veces, datos de pago parciales. Revise los extractos bancarios y de tarjetas en busca de transacciones desconocidas durante las próximas semanas.

Esté atento al phishing. Los atacantes que obtienen sus datos de contacto de bases de datos filtradas a menudo envían correos electrónicos o mensajes de texto de phishing convincentes. Sea escéptico con los mensajes inesperados que le pidan verificar la información de su cuenta, especialmente aquellos que generan una sensación de urgencia.

Solicite sus datos. Muchas jurisdicciones, incluida Corea del Sur en virtud de su Ley de Protección de Información Personal, otorgan a las personas el derecho a solicitar qué datos tiene una empresa sobre ellas y a pedir su eliminación. Si usted es usuario de Coupang, ese derecho existe independientemente del litigio en curso.

Lo que esto significa para usted

La multa por la filtración de datos de Coupang en Corea no es solo una historia sobre una empresa o un país. Forma parte de un cambio más amplio en la forma en que los gobiernos tratan los datos personales como un activo protegido con auténticos mecanismos de aplicación. Tanto si compra en plataformas coreanas como si no, la tendencia es importante: los reguladores de todo el mundo están subiendo la apuesta para las empresas que no protegen la información de los usuarios.

El mejor momento para revisar su propia huella digital es ahora, antes de la próxima filtración, no después. Conocer sus derechos según las leyes de privacidad que le aplican es un punto de partida práctico. Para una visión más amplia de cómo está evolucionando la aplicación de la ley más cerca de casa, los datos sobre el aumento de las sanciones por privacidad a nivel estatal en EE.UU. ofrecen un marco útil para comprender hacia dónde se dirige el impulso regulatorio.