En vivo
InternacionalTIME publica su lista de las 100 personas más influyentes de 2026Inteligencia ArtificialMotorola Edge 70 Pro: pantalla 1.5K y batería de 6.500 mAhEmpresasEl sistema EES colapsa aeropuertos con esperas de tres horasEmpresasPuente anuncia 1.629 millones para asfaltado con un déficit de 5.600MEmpresasInditex sufre un ciberataque a bases de datos internasTecnologiaBoeing supera a Airbus en entregas, pero sus problemas siguenEmpresasLos hoteles de EEUU bajan precios por la baja demanda del MundialEmpresasPortAventura elimina su comisión ejecutiva y renueva cargosEmpresasBank of America sube al 3,27% en BankinterEmpresasPuente destina 1.620 millones a mejorar 5.000 km de carreterasInternacionalTIME publica su lista de las 100 personas más influyentes de 2026Inteligencia ArtificialMotorola Edge 70 Pro: pantalla 1.5K y batería de 6.500 mAhEmpresasEl sistema EES colapsa aeropuertos con esperas de tres horasEmpresasPuente anuncia 1.629 millones para asfaltado con un déficit de 5.600MEmpresasInditex sufre un ciberataque a bases de datos internasTecnologiaBoeing supera a Airbus en entregas, pero sus problemas siguenEmpresasLos hoteles de EEUU bajan precios por la baja demanda del MundialEmpresasPortAventura elimina su comisión ejecutiva y renueva cargosEmpresasBank of America sube al 3,27% en BankinterEmpresasPuente destina 1.620 millones a mejorar 5.000 km de carreteras
Buscar

Inditex sufre un ciberataque a bases de datos internas

El grupo gallego descarta que se hayan expuesto datos personales de clientes, aunque sí información comercial alojada en un proveedor externo.

Por Carlos García·miércoles, 15 de abril de 2026·4 min lectura
Ilustración: Inditex sufre un ciberataque a bases de datos internas · El Diario Joven

Inditex comunicó en la noche del miércoles haber detectado un acceso no autorizado a determinadas bases de datos de la compañía. Según el propio grupo, esas bases estaban alojadas en los servidores de un proveedor externo, no en la infraestructura tecnológica central del gigante textil gallego. La empresa, cuya sede está en Arteixo (A Coruña) y que es propietaria de marcas como Zara, Massimo Dutti o Pull&Bear, activó de inmediato sus protocolos internos de ciberseguridad y trasladó el incidente a las autoridades competentes.

El grupo especificó que las bases de datos afectadas incluyen información sobre relaciones comerciales con clientes de distintos mercados. Sin embargo, en su comunicado descartó que se hubieran visto comprometidos datos sensibles como nombres completos, domicilios, teléfonos, contraseñas o medios de pago. En otras palabras, el tipo de información que más preocupa en una brecha de seguridad —aquella que podría facilitar el fraude o el robo de identidad— no habría estado en los sistemas accedidos por los atacantes.

La compañía también aclaró el origen del incidente: la brecha no nació dentro de Inditex, sino en un antiguo proveedor tecnológico que habría sufrido previamente un ataque. Ese mismo incidente habría afectado a otras empresas con actividad internacional, aunque Inditex no identificó en su comunicado a ninguna otra compañía implicada. La firma aseguró que sus operaciones internas y sus sistemas de venta siguen funcionando con normalidad, y que los clientes pueden seguir comprando y gestionando sus cuentas con total seguridad.

El patrón que se repite en el retail español

Este incidente no es un caso aislado en el sector de la distribución española. En octubre de 2024, Mango comunicó públicamente haber sufrido un acceso no autorizado a datos personales de sus clientes a través de un servicio de marketing externo. En aquel caso, los atacantes consiguieron información algo más sensible: nombres sin apellidos, países de origen, códigos postales, números de teléfono y correos electrónicos. El canal de entrada fue, de nuevo, un proveedor tercero que gestionaba campañas de marketing digital.

Antes, en marzo de 2023, El Corte Inglés también había reconocido un ciberataque que permitió el acceso a datos personales de sus clientes. La situación fue estructuralmente muy similar: la información robada se encontraba en un proveedor externo, no en los sistemas propios del grupo. Este patrón recurrente —ataque al eslabón más débil de la cadena, es decir, el proveedor— se ha convertido en una de las principales vulnerabilidades del sector retail a escala global.

Por qué los proveedores externos son el objetivo preferido

Los expertos en ciberseguridad llevan años advirtiendo sobre los riesgos de la llamada cadena de suministro digital. Las grandes empresas suelen contar con infraestructuras de seguridad robustas y equipos dedicados a la protección de sus sistemas. Sin embargo, los proveedores que prestan servicios tecnológicos —desde plataformas de marketing hasta gestores de bases de datos— no siempre tienen el mismo nivel de protección. Para los ciberdelincuentes, atacar a ese tercero puede ser mucho más sencillo y, al mismo tiempo, permite acceder a información de múltiples clientes corporativos de golpe.

En España, la Agencia Española de Protección de Datos (AEPD) exige a las empresas que notifiquen cualquier brecha de seguridad que afecte a datos personales en un plazo máximo de 72 horas desde que tienen conocimiento del incidente. Esta obligación, recogida en el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, busca garantizar que tanto las autoridades como los propios afectados puedan tomar medidas a tiempo. La comunicación pública de Inditex sugiere que la compañía ha seguido este procedimiento, aunque no detalló si ha habido o no notificación formal a la AEPD.

El incidente pone también sobre la mesa una pregunta que las empresas del sector tendrán que responder cada vez con mayor urgencia: ¿hasta qué punto son responsables de la seguridad de los datos que delegan en terceros? La normativa europea ya establece que el responsable del tratamiento —en este caso Inditex— es quien debe garantizar que sus encargados del tratamiento ofrecen garantías suficientes. Dicho de otro modo, subcontratar no exime de responsabilidad.

Por el momento, Inditex no ha ofrecido más detalles sobre el volumen de registros afectados, los mercados concretos en los que se produjeron los accesos ni la identidad del proveedor involucrado. La compañía, que cerró su último ejercicio fiscal con una facturación récord superior a los 35.000 millones de euros y opera en más de 90 países, es uno de los grupos de distribución más grandes del mundo. La magnitud de su base de clientes convierte cualquier incidente de seguridad, por limitado que sea, en un asunto de seguimiento obligado.

Compartir:XFacebookWhatsAppEmail
Etiquetasciberseguridadretailinditexzaraproteccion de datosciberataque

Redactado por inteligencia artificial · Revisado por la redacción

También te puede interesar