Inditex reconoció a mediados de abril una brecha de datos ligada a accesos no autorizados a bases de datos alojadas por un antiguo proveedor tecnológico. La compañía sostuvo que sus sistemas y operaciones no resultaron afectados y que los atacantes no obtuvieron nombres, teléfonos, direcciones, credenciales ni datos de pago.
La tensión del incidente está en lo que quedó fuera y lo que sí ha aparecido después. Mientras el grupo minimizaba el alcance sobre la información más sensible, la plataforma Have I Been Pwned confirmó la presencia de 197.000 correos electrónicos únicos de clientes de Zara junto con referencias de pedidos y datos geográficos asociados.
Have I Been Pwned confirmó 197.000 correos de clientes de Zara
La brecha afectó a información sobre interacciones comerciales con clientes que estaba en bases de datos de un antiguo proveedor. Inditex encuadró el caso en un ataque más amplio que alcanzó a varias empresas con actividad internacional.
Have I Been Pwned verificó 197.000 correos únicos de Zara.
Además de esas direcciones de correo, la plataforma detalló que el material sustraído incluye códigos SKU de productos, identificadores de pedidos y datos geográficos vinculados a esos encargos. Ese conjunto dibuja un nivel de exposición superior al de un simple listado de contactos, aunque no incorpora, según Inditex, credenciales ni información de pago.
ShinyHunters se atribuyó el ataque con un archivo de 140 GB
El grupo de ransomware ShinyHunters se adjudicó la intrusión y difundió un archivo de 140 GB con documentos supuestamente extraídos de instancias de BigQuery. La atribución del grupo sitúa el caso en una campaña con impacto internacional y no en un incidente aislado sobre la cadena de moda.
ShinyHunters publicó un archivo de 140 GB.
Según esa atribución, la extracción se habría producido mediante tokens de autenticación de Anodot comprometidos. Inditex, por su parte, vinculó la brecha a bases de datos alojadas por un antiguo proveedor tecnológico y remarcó que la incidencia no alcanzó a sus operaciones internas.
El mismo grupo ha aparecido en incidentes recientes que han salpicado a la Comisión Europea, Vimeo, Google, Cisco, Pornhub, Match Group, 7-Eleven y McGraw Hill. La referencia a esos ataques amplía el contexto del caso y sitúa la brecha de Inditex en una cadena de acciones reivindicadas por un actor ya conocido en el sector.
Mango ya notificó en octubre otra filtración ligada al marketing
El episodio llega además después de otro aviso en el sector textil catalán. En octubre, Mango notificó una filtración de datos relacionada con información personal usada en sus campañas de marketing.
La coincidencia temporal entre ambos casos vuelve a poner el foco sobre los datos comerciales y promocionales que manejan las grandes cadenas. En el caso de Inditex, la compañía sostuvo que los atacantes no llegaron a acceder a nombres, números de teléfono, direcciones ni datos de pago.
En octubre, Mango notificó una filtración sobre datos personales usados en campañas de marketing.