Inditex sufre ataque informático con acceso a bases de datos comerciales
El grupo textil español Inditex, propietario de Zara, comunicó el miércoles haber sufrido un acceso no autorizado a bases de datos alojadas en servidores de un proveedor externo, según informó la compañía. La brecha de seguridad afectó información de relaciones comerciales con clientes de diferentes mercados, aunque la empresa descarta que se hayan comprometido datos personales sensibles como nombres completos, contraseñas o información bancaria.
Inditex ha trasladado el incidente a las autoridades correspondientes después de aplicar inmediatamente sus protocolos de seguridad, según explicó la compañía en un comunicado. La brecha tiene su origen en un incidente sufrido por un antiguo proveedor tecnológico que ha afectado a diversas compañías con actividad internacional, según Inditex.
Las bases de datos comprometidas contienen información de la relación comercial con clientes de diferentes mercados, pero en ningún caso datos como nombre y apellidos, teléfono, domicilio, contraseñas, tarjetas bancarias u otros medios de pago, según la compañía gallega. "Las operaciones y los sistemas de Inditex no han sufrido afectación alguna y los clientes pueden seguir accediendo y operando con total seguridad", afirmó el grupo en su comunicado.
Inditex identifica la ciberseguridad como uno de los elementos de su mapa de riesgos, según su última memoria anual. "Dado el elevado grado de digitalización e integración tecnológica del modelo de negocio, la eventual materialización de incidencias de carácter tecnológico —derivadas, entre otros factores, de fallos de infraestructura, incidentes de ciberseguridad, errores en aplicaciones o dificultades en la interacción con terceros tecnológicos— podría tener un impacto transversal en la actividad del grupo, afectando al normal desarrollo de los procesos operativos y comerciales", señala el documento.
La compañía cuenta con un comité de seguridad de la información dedicado a la mitigación de riesgos tecnológicos y de ciberseguridad, así como a la protección de la información crítica del grupo, según la memoria anual. En este comité están presentes, entre otros altos directivos, el consejero delegado Óscar García Maceiras.
En 2023, Inditex creó un comité asesor de ciberseguridad que sirve de órgano consultor del consejo de administración en materia de seguridad de la información. Este órgano se reunió en cinco ocasiones durante 2025, en las que se revisaron los riesgos del contexto geopolítico, el impacto de la inteligencia artificial, las amenazas más habituales y las nuevas técnicas de intrusión, destacando la necesidad de reforzar la formación y la concienciación interna, según describe la memoria anual.
El grupo dispone de diferentes equipos especializados: uno dedicado a ciberinteligencia y un centro de operaciones de seguridad en funcionamiento las 24 horas del día, encargado de la detección, análisis, notificación y resolución de los potenciales eventos de seguridad que puedan afectar a la compañía. Durante 2025, este centro identificó 66 eventos de interés que fueron reportados al comité de seguridad, sin impactos reseñables, según la compañía.
No es el primer caso de una empresa española de distribución que sufre un ataque informático con acceso a bases de datos. En octubre, Mango comunicó haber sufrido un acceso no autorizado a ciertos datos personales de los clientes a través de un servicio de marketing externo. Los ciberdelincuentes pudieron obtener datos personales utilizados en campañas de marketing: nombres sin apellidos, país de origen, códigos postales, teléfonos y direcciones de correo electrónico.
El Corte Inglés sufrió en marzo del año pasado un ataque informático que permitió el acceso de ciberdelincuentes a datos personales de los clientes del grupo de distribución, que también estaban alojados en un proveedor externo, según fuentes del sector.
