El minorista de moda Zara ha revelado una brecha de datos que afecta a aproximadamente 197.000 personas después de que los atacantes obtuvieran acceso no autorizado a sistemas conectados a un proveedor de servicios externo.
El incidente fue confirmado por la empresa matriz de Zara, Inditex, que afirmó que la brecha se originó en un incidente de ciberseguridad que involucró a un antiguo proveedor de tecnología utilizado por varias empresas internacionales.
Según las notificaciones de brechas, la información expuesta incluía nombres, direcciones de correo electrónico, números de teléfono, direcciones postales y fechas de nacimiento vinculadas a las personas afectadas. La empresa declaró que las contraseñas ni los datos de las tarjetas de pago no fueron comprometidos en el incidente.
Inditex afirmó que los atacantes accedieron a bases de datos que contienen información relacionada con transacciones de clientes alojadas por el proveedor externo. La empresa añadió que sus propios sistemas operativos y plataformas en línea no se vieron directamente afectados y permanecieron operativos durante todo el incidente.
La revelación de la brecha llega en medio de afirmaciones más amplias del grupo de ciberdelincuencia ShinyHunters, que recientemente incluyó a Zara entre varias empresas supuestamente afectadas en una campaña de filtraciones más amplia. Posteriormente, el grupo publicó conjuntos de datos que afirmó haber sido robados de varias grandes marcas, incluyendo Zara, Carnival y 7-Eleven.
En esta fase, sigue sin estar claro si las 197.000 personas afectadas están directamente relacionadas con las afirmaciones de ShinyHunters o si los incidentes están completamente relacionados. Inditex no ha atribuido públicamente la brecha a un actor amenazante específico.
La empresa dijo que activó inmediatamente los protocolos de seguridad y notificó a las autoridades competentes tras descubrir el acceso no autorizado.
Aunque supuestamente no se expuso información financiera, los expertos en ciberseguridad advierten que los datos personales filtrados podrían seguir siendo valiosos para ataques de phishing, fraude de identidad y estafas dirigidas. Los atacantes suelen utilizar combinaciones de nombres, direcciones de correo electrónico, números de teléfono y fechas de nacimiento para crear intentos convincentes de suplantación.
La brecha también pone de manifiesto los crecientes riesgos de ciberseguridad vinculados a proveedores externos y a proveedores de tecnología externalizados. Incluso cuando la infraestructura propia de una empresa no está directamente comprometida, los atacantes cada vez más se dirigen a proveedores y contratistas como puntos de entrada indirectos a organizaciones más grandes.
Inditex opera varias marcas de moda globales más allá de Zara, incluyendo Bershka, Pull&Bear, Stradivarius y Massimo Dutti. La compañía no ha confirmado si clientes de otras marcas se vieron afectados en el incidente.