Inditex sufre un ciberataque con acceso a bases internas

Inditex ha reconocido un ciberataque con acceso no autorizado a bases de datos internas alojadas por un tercero. Te explicamos qué se sabe, qué datos no se habrían visto afectados y por qué conviene seguir alerta.

Cuando una empresa del tamaño de Inditex informa sobre un acceso no autorizado a sus bases de datos, definitivamente llama la atención. No solo por la magnitud del grupo, que es dueño de marcas como Zara, sino porque este tipo de incidentes nos recuerda algo crucial: a veces, una brecha de seguridad no se origina dentro de la propia empresa, sino en un proveedor externo que también maneja información sensible. En este caso, Inditex ha señalado que detectó un acceso no autorizado a bases de datos que estaban alojadas por un tercero, y que el problema provino de un incidente que afectó a un antiguo proveedor tecnológico, impactando a varias empresas con operaciones internacionales.

Es importante aclarar que, según la información proporcionada por la empresa, no se habrían visto comprometidos datos especialmente sensibles de los clientes. Inditex asegura que esas bases de datos contenían información relacionada con transacciones y la relación comercial con clientes de diferentes mercados, pero no incluían nombres, apellidos, teléfonos, direcciones, contraseñas, tarjetas bancarias ni otros métodos de pago. La compañía también afirma que activó de inmediato sus protocolos de seguridad, notificó a las autoridades pertinentes y que sus operaciones y sistemas no se vieron afectados.

Aun así, sería un error minimizar la importancia de esta noticia solo porque, por ahora, no se mencionan tarjetas ni contraseñas. Un acceso no autorizado a bases de datos internas siempre merece atención, especialmente cuando se involucra a un proveedor externo. De hecho, este caso resalta uno de los aspectos más delicados de la ciberseguridad actual: muchas grandes empresas tienen parte de su infraestructura, servicios o manejo de datos distribuidos entre terceros, lo que amplía la superficie de riesgo. En otras palabras, no siempre es necesario entrar por la puerta principal para causar un problema serio.

Qué se sabe hasta ahora

Lo que sabemos hasta ahora es bastante claro. Inditex ha admitido que hubo un acceso no autorizado, señalando que provino de un proveedor tecnológico anterior. Además, han enfatizado que la información comprometida no incluía datos personales sensibles ni información bancaria. Según Reuters, las bases de datos afectadas contenían información sobre transacciones con clientes, mientras que El País menciona que la empresa se refirió a datos relacionados con su relación comercial con clientes de diferentes mercados. Aunque son matices distintos, ambos son compatibles: no estamos hablando de un robo masivo de contraseñas o tarjetas, sino de un acceso a información comercial vinculada a los clientes.

Es crucial no caer en el alarmismo. Hasta el momento, no hay información pública que confirme que se hayan vaciado cuentas, clonado tarjetas o accedido a identidades completas de los clientes de Inditex. Tampoco hay indicios, al menos en lo que se ha publicado hasta ahora, de que las operaciones comerciales del grupo se hayan visto interrumpidas o que las tiendas o plataformas en línea hayan dejado de funcionar con normalidad. La propia compañía asegura que sus sistemas y operaciones siguen en marcha y que los clientes pueden seguir operando con total seguridad.

Por qué este incidente sigue siendo relevante

Aunque no haya contraseñas ni tarjetas comprometidas, eso no significa que el incidente no sea relevante.

La información comercial también puede usarse en fraudes

La información comercial o transaccional, incluso si parece menos sensible, puede ser muy valiosa para preparar fraudes más creíbles. Si un delincuente tiene conocimiento del contexto de una compra, de una relación comercial o de ciertos patrones de interacción con una marca, le resulta más fácil enviar correos o mensajes de phishing que suenen convincentes. Esto no implica que ya esté sucediendo en este caso específico, pero sí explica por qué este tipo de incidentes deben ser tomados en serio, incluso cuando la empresa intenta tranquilizar a sus clientes.La lectura que hacemos se alinea con el hecho de que el propio grupo reconoce la ciberseguridad como un riesgo significativo en su mapa de riesgos corporativos.

El problema de fondo: el riesgo del proveedor externo

La reciente noticia sobre Inditex vuelve a poner de relieve una realidad incómoda: muchas brechas de seguridad no se originan en el corazón de la empresa atacada, sino en alguna parte de su ecosistema.

Cuando el fallo no está dentro de la empresa

Esto obliga a las empresas a estar atentas no solo a sus propios sistemas, sino también a los de sus socios tecnológicos, proveedores antiguos, servicios en la nube y plataformas intermedias. En el caso de Inditex, la compañía ha identificado que el origen del incidente proviene precisamente de un proveedor tecnológico anterior. Esto se conecta con un patrón que ya hemos observado en otras grandes empresas: un tercero con acceso o con datos almacenados puede convertirse en el eslabón más débil.

Inditex refuerza su vigilancia en ciberseguridad

No es casualidad, por lo tanto, que Inditex haya estado reforzando su gobernanza en este ámbito. La documentación corporativa del grupo muestra la existencia de un Comité Asesor de Ciberseguridad, que actúa como un órgano experto e independiente que apoya al Consejo y a la dirección en temas de seguridad de la información. Además, la compañía cuenta con un Centro de Operaciones de Seguridad que está activo las 24 horas, y señala que en 2025 este sistema detectó 66 eventos de interés sin impactos significativos, lo que demuestra que hay vigilancia, aunque ningún sistema sea infalible.

Qué debería hacer un cliente

Aquí es importante ser claros: no parece un motivo para entrar en pánico, pero sí para ser más cautelosos.

Precaución con correos, SMS y llamadas sospechosas

Si eres cliente de alguna marca del grupo, lo más sensato es desconfiar especialmente de correos, SMS o llamadas que utilicen como gancho una compra, una devolución, un pedido o una supuesta incidencia de seguridad. También es recomendable asegurarse de que cualquier comunicación provenga de canales oficiales y evitar hacer clic en enlaces recibidos apresuradamente o en mensajes alarmistas.

No es que Inditex haya confirmado una ola de fraude posterior, porque eso no ha sucedido, sino que este tipo de situaciones suelen ser aprovechadas por personas que buscan sacar ventaja del revuelo informativo. Es una precaución sensata, no una afirmación de que haya habido un abuso real en este caso.

La idea clave

La noticia sobre Inditex, al menos por ahora, no sugiere una catástrofe para los clientes. Sin embargo, nos deja una lección importante: en el mundo de la ciberseguridad, el riesgo no siempre se presenta por la vía más evidente. A veces, puede venir de un tercero, de una base de datos externa o de una relación tecnológica que parecía poco relevante. Y aunque la empresa afirme que no se han expuesto contraseñas ni datos bancarios, el acceso no autorizado a información interna nunca es algo positivo. La mejor forma de abordar esto no es con alarmismo, pero tampoco con indiferencia: es reconocer que la seguridad digital de una gran marca también depende de toda la cadena que la rodea.

Fuentes

Reuters, Zara owner Inditex reports unauthorised access to transaction databases (16/04/2026).
EL PAÍS, Inditex sufre un ataque informático con acceso a bases de datos internas (15/04/2026).
Inditex, documentación corporativa sobre ciberseguridad y gobernanza: Comité Asesor de Ciberseguridad y estructura de supervisión.

Sobre el autor
Joan Torras es fundador de InfoEstafas.com y responsable editorial del proyecto. Redacta y revisa contenidos sobre estafas online, fraudes digitales y prevención en internet.

Comparte este Post:

Noticias relacionadas

Mujer mayor preocupada hablando por teléfono ante una estafa de urgencia hospitalaria con falso aviso médico

La estafa de la “urgencia hospitalaria”: llaman diciendo que un familiar está grave para pedir dinero o joyas

La Policía Nacional ha alertado de una modalidad de estafa telefónica especialmente cruel: delincuentes que llaman a personas mayores haciéndose pasar por personal sanitario y aseguran que un familiar necesita una operación urgente para pedir dinero o joyas.

Alerta digital sobre una filtración de datos de Naturgy con riesgo de phishing para clientes en España

Naturgy comunica una filtración de datos que podría afectar al 3% de sus clientes en España

Naturgy ha comunicado una filtración de datos que podría afectar a parte de sus clientes en España. Aunque las contraseñas no se habrían visto comprometidas, los datos expuestos podrían facilitar intentos de phishing, llamadas fraudulentas o suplantación de identidad.

Persona mayor recibiendo una llamada con una falsa multa de 185 euros en una estafa telefónica

La falsa multa de 185 euros que usa el miedo para estafar a mayores

Una nueva estafa telefónica usa una supuesta multa de 185 euros para intimidar a la víctima, especialmente a personas mayores. El fraude reproduce el esquema clásico del vishing: presión, miedo y urgencia para lograr que la persona actúe sin verificar.