Inditex refuerza su seguridad tras el incidente de datos vinculado a proveedores externos

La brecha de seguridad que afectó a Zara e Inditex se dio a conocer públicamente durante el mes de abril de 2026. El incidente fue relacionado con el grupo de ciberdelincuentes ShinyHunters, conocido internacionalmente por participar en filtraciones masivas de información y campañas de extorsión digital. Las primeras publicaciones aparecieron en medios como Reuters y portales de seguridad informática, donde se explicó que la intrusión no se había producido directamente en los sistemas internos de Zara, sino a través de una plataforma de terceros que almacenaba información relacionada con transacciones y servicios de soporte. Poco después, la propia Inditex confirmó la existencia del incidente y señaló que había activado sus protocolos de respuesta y notificación a las autoridades competentes.
El incidente se centra en la exposición de información perteneciente aproximadamente a 197.000 clientes, cuyos datos habrían sido obtenidos por los atacantes tras comprometer sistemas asociados a un proveedor tecnológico. Entre los datos afectados se encontrarían direcciones de correo electrónico, identificadores de pedidos, historiales de compras y cierta información operativa relacionada con la atención al cliente. Según la información difundida por la empresa y por distintos investigadores de ciberseguridad, no se habrían visto comprometidas contraseñas de acceso ni datos bancarios completos. Tras detectarse la intrusión, Inditex aseguró haber reforzado las medidas de seguridad, limitado los accesos afectados y comenzado una investigación técnica para determinar el alcance real del ataque. Además, la compañía inició procesos de comunicación con las autoridades regulatorias y con los usuarios potencialmente afectados.
Actualmente, el caso continúa siendo objeto de seguimiento por parte de especialistas en ciberseguridad y medios tecnológicos, ya que parte de la información robada habría sido publicada o utilizada como mecanismo de presión por parte de ShinyHunters. Aunque la empresa sostiene que los sistemas críticos y financieros no fueron comprometidos directamente, el incidente ha vuelto a poner en debate la dependencia de grandes compañías respecto a proveedores externos y la necesidad de reforzar los controles de protección de datos.