Filtración de datos de Zara: qué se expuso y cómo habría entrado ShinyHunters

Qué datos personales quedaron expuestos

Have I Been Pwned incluyó el incidente de Zara como una brecha que afectó a más de 197.000 personas, y varios reportes concretan la cifra en 197.400 registros.

Los campos expuestos habrían incluido:

• Direcciones de correo electrónico.
• Datos de mercado geográfico o información relacionada con la ubicación.
• Información de compras y pedidos, incluidos identificadores de pedido, productos o SKUs según algunos reportes.
• Datos de tickets de soporte o atención al cliente.

Esa combinación importa porque permite personalizar engaños. Un atacante no necesita tener tu contraseña para escribirte un mensaje que parezca legítimo si puede mencionar un correo real, un mercado, un producto, un pedido o una interacción previa con soporte. Cloaked advirtió precisamente que esos detalles pueden alimentar intentos de phishing y de toma de control de cuentas, incluso sin contraseñas ni números de tarjeta.

Qué no se habría comprometido

Inditex habría indicado que no se accedió a contraseñas ni a información de tarjetas de pago. Daily.dev también reportó que nombres, números de teléfono, direcciones, credenciales y datos de pago no se vieron comprometidos, aunque conviene leerlo con una cautela: Inditex no ha publicado un desglose técnico completo del incidente.

Para clientes, la conclusión práctica es que, según lo publicado hasta ahora, no parece una brecha de tarjetas bancarias. El riesgo más inmediato está en la ingeniería social: correos, SMS u otros mensajes que se hagan pasar por Zara para hablar de reembolsos, problemas de entrega, pagos fallidos, recompensas o tickets de soporte.

Cómo habría accedido ShinyHunters

La versión confirmada por Inditex apunta fuera de la infraestructura propia de Zara: el acceso no autorizado estuvo vinculado a bases de datos alojadas por un antiguo proveedor tecnológico o contratista externo.

Después, varios reportes de seguridad conectaron el caso con ShinyHunters. BleepingComputer informó de que el grupo de extorsión reivindicó la brecha y afirmó haber filtrado un archivo de 140 GB supuestamente extraído de instancias de BigQuery mediante tokens de autenticación de Anodot comprometidos. Otros reportes también señalan a Anodot, proveedor de analítica, como la presunta vía de acceso de terceros hacia datos de clientes de empresas conectadas.

Dicho de forma sencilla: lo descrito no sería “hackear la caja” de Zara, sino obtener o comprometer credenciales técnicas de un tercero, usarlas para acceder a entornos de datos en la nube conectados y extraer información almacenada allí. Esa lectura encaja con la explicación de Inditex de que el incidente se originó en un proveedor anterior y no dentro de sus propios sistemas.

Lo que aún no está claro

El registro público no equivale a un informe forense completo. BleepingComputer señaló que Inditex y Zara no habían revelado todos los detalles del incidente, incluido un recuento oficial completo de personas afectadas.

También hay que tomar con cautela la explicación técnica concreta: parte de la atribución a ShinyHunters y del método de acceso procede de afirmaciones del propio actor de amenazas y de reportes de seguridad, no de una investigación pública detallada por parte de Inditex.

Incluso el tamaño del archivo reclamado varía según la fuente: BleepingComputer y Daily.dev citan un archivo de 140 GB, mientras que Cork Safety Alerts recogió una afirmación de ShinyHunters de 192 GB procedentes de instancias cloud de BigQuery. Para una persona usuaria, el dato más útil es el recuento asociado a Have I Been Pwned: alrededor de 197.400 entradas afectadas.

Qué deberían hacer ahora los clientes de Zara

Si tu correo pudo estar en el conjunto de datos, desconfía de cualquier mensaje no solicitado que parezca venir de Zara o que hable de un pedido, una devolución, un problema de entrega, un pago pendiente o una incidencia de soporte. En lugar de pulsar enlaces en correos o mensajes, entra directamente en la web oficial o en la app de Zara.

Como los reportes actuales indican que no se accedió a contraseñas ni datos de tarjetas, sustituir tarjetas de forma masiva no parece el primer paso lógico con los hechos conocidos. Aun así, si reutilizaste una contraseña en varias tiendas o servicios, cámbiala; y activa la autenticación multifactor donde esté disponible.

Por qué este caso va más allá de Zara

El incidente muestra cómo las conexiones con proveedores de analítica y entornos de datos en la nube pueden exponer información de clientes aunque una empresa afirme que sus sistemas principales no fueron comprometidos directamente.

Para equipos de seguridad, la ruta descrita —tokens comprometidos y acceso a almacenes de datos cloud— apunta a controles conocidos: revocar accesos de antiguos proveedores, rotar tokens de autenticación, limitar permisos, vigilar exportaciones inusuales y auditar quién puede llegar a bases con datos de clientes.

La idea clave: lo expuesto en el caso de Zara parece más limitado que una brecha de contraseñas o tarjetas, pero sigue siendo información personal útil para estafas. El problema no es solo qué se filtró, sino cómo una conexión de terceros habría dejado al alcance datos de clientes de una marca global.