El grupo de ciberdelincuencia ShinyHunters ha añadido varias grandes empresas, incluyendo Zara, Carnival y 7-Eleven, a su sitio de filtraciones de datos como parte de una campaña de extorsión en curso dirigida a organizaciones mediante un modelo de “pagar o filtrarse”.
Según informes, el grupo advirtió que los datos vinculados a varias empresas podrían publicarse si no se cumplen las demandas de rescate. La campaña sigue un patrón en el que las víctimas se listan públicamente junto con plazos de pago, tras los cuales los datos se liberan o se ponen a la venta.
La última actividad incluye afirmaciones de que más de 9 millones de registros podrían estar en riesgo en las organizaciones afectadas. Estas cifras no han sido verificadas de forma independiente y no se ha confirmado públicamente ningún desglose detallado de los supuestos conjuntos de datos.
La empresa matriz de Zara, Inditex, confirmó que se había producido un incidente de seguridad, pero afirmó que estaba vinculado a un proveedor de servicios externo y no a sus sistemas internos. La empresa afirmó que la información expuesta se relaciona con las operaciones comerciales y no incluye datos de clientes como nombres, datos de contacto o datos de pago.
Al mismo tiempo, ShinyHunters ha listado a Zara en su sitio de filtraciones, afirmando que tiene la intención de publicar datos en cuestión de días si no se cumplen las condiciones. Las afirmaciones no han sido verificadas de forma independiente y el alcance de la exposición sigue en proceso de revisión.
Carnival y 7-Eleven también han sido nombrados en la misma campaña, aunque no se identificaron declaraciones oficiales que confirmaran brechas de esas compañías en los informes disponibles. El alcance de cualquier incidente potencial que afecte a esas organizaciones no se ha detallado públicamente.
ShinyHunters es conocido por dirigirse a servicios en la nube y plataformas de software para obtener datos corporativos, a menudo utilizando credenciales comprometidas o tokens de acceso en lugar de explotar vulnerabilidades directas. Una vez obtenido el acceso, el grupo extrae conjuntos de datos y los utiliza en intentos de extorsión.
La actividad del grupo forma parte de una serie más amplia de incidentes en 2026 que involucran a múltiples organizaciones de diversos sectores, incluyendo el comercio minorista, los viajes y la tecnología. En muchos casos, los ataques han involucrado a sistemas externos o proveedores externos en lugar de intrusiones directas en la infraestructura de la empresa.
No se han hecho públicos detalles técnicos sobre cómo se obtuvo el acceso en los últimos casos. Las investigaciones sobre las afirmaciones y la verificación de cualquier dato expuesto continúan.