El grupo Inditex —propietario de Zara— confirmó el incidente el pasado mes de abril y señaló que involucran datos gestionados por un antiguo proveedor. Sitios especializados fijaron en más de 197 mil los clientes afectados. Entre los datos accedidos se encuentran nombres, direcciones e información de contacto. La empresa afirmó que no se comprometieron contraseñas ni datos financieros.
Inditex, el grupo empresarial matriz y propietario de la tienda de moda Zara, informó que una vulneración de seguridad asociada a un proveedor externo afectó datos personales de aproximadamente 197 mil clientes de la compañía de moda. El incidente, que fue divulgado inicialmente por MarketWatch el pasado mes de abril, fue incorporado el pasado 8 de mayo a la base de datos de Have I Been Pwned, plataforma especializada en seguimiento de filtraciones de información.
Según la información recolectada de diferentes medios, los datos expuestos incluyen nombres completos, direcciones de correo electrónico, direcciones físicas, números telefónicos, fechas de nacimiento y números parciales de tarjetas bancarias. El sitio Have I Been Pwned añadió el incidente bajo el registro “Zara”, indicando que la exposición afectó a 197 mil personas y que la información provenía de un sistema de terceros vinculado a la operación de la compañía.
Inditex señaló que la vulneración no comprometió credenciales de acceso ni información financiera sensible. En una declaración recogida por la web MarketWatch, la empresa indicó que no se vieron comprometidas contraseñas ni datos completos de tarjetas de crédito. La compañía agregó que el incidente fue contenido y que ya se implementaron medidas correctivas junto al proveedor afectado.
De acuerdo con Inditex, una vez que se detectó el incidente la empresa aplicó sus protocolos de seguridad y notificó de lo ocurrido a las autoridades. La empresa fue enfática al indicar que el incidente “se deriva de un incidente de seguridad que afectó a un antiguo proveedor de tecnología y ha impactado a varias empresas que operan internacionalmente».
Varios reportes indican que la información comenzó a circular en foros vinculados a filtraciones de datos, donde actores no identificados afirmaron poseer registros asociados a clientes de Zara. El medio indicó que parte de los datos fueron posteriormente verificados por investigadores y coincidían con información legítima de usuarios afectados.
Los medios también destacan que la filtración no incluyó credenciales de autenticación ni información bancaria completa, aunque advierten que los datos personales expuestos podrían ser utilizados en campañas de phishing o fraudes dirigidos. La tienda de moda indicó en un comunicado entregado a MarketWatch que las operaciones y los sistemas de Zara no se han visto afectados y que los clientes podían seguir accediendo y utilizando sus servicios de forma segura.
En el mensaje que con que Have I Been Pwned incorporó la brecha a su plataforma pública para que usuarios puedan verificar si sus correos electrónicos forman parte de la exposición, el sitio confirmó que los registros asociados a la filtración contenían múltiples categorías de datos personales y que la información ya circulaba entre comunidades dedicadas al intercambio de bases de datos comprometidas.
Have I Been Pwned también indica que tras el incidente está el grupo de extorsión ShinyHunters, y vinculó el incidente con la plataforma de análisis Anodot, que sería el proveedor externo involucrado.
La compañía no informó públicamente cuántos clientes fueron afectados por país ni precisó la fecha exacta en que ocurrió la vulneración. Tampoco hizo alusión directa al proveedor comprometido.