El data breach de Zara ha dejado expuestos datos de 197.400 personas, según el análisis de la información robada. La filtración incluye correos electrónicos, registros de compra y tickets de soporte, todo ello salido de instancias de BigQuery vinculadas a la cadena.
La parte menos mala del caso es que Inditex asegura que no se robaron nombres, direcciones, credenciales ni datos de pago. Eso recorta bastante el impacto directo. Aun así, el volumen de información filtrada basta para alimentar campañas de phishing mucho más precisas.
El ataque se enmarca en el incidente que afecta a Anodot, una plataforma de analítica en la nube que varias empresas integraban con otros servicios. ShinyHunters se atribuyó la intrusión y difundió un archivo de 140GB, que es el origen del material revisado ahora por Have I Been Pwned.
197.400 correos y pedidos: lo que salió del data breach de Zara
Have I Been Pwned informó de que los datos robados contenían 197.000 direcciones de correo únicas, junto con SKU de producto, IDs de pedido y el mercado del que procedía cada ticket de soporte. También aparecían ubicaciones geográficas, compras y consultas de atención al cliente. Es una combinación útil para un atacante, porque permite cruzar comportamiento de compra con comunicación posterior.
Zara, con más de 1.500 tiendas en todo el mundo, es la marca principal de Inditex. Ese peso hace que cualquier exposición de datos tenga una superficie de impacto amplia, aunque en este caso no se hayan filtrado los campos más sensibles. La diferencia entre “sin credenciales” y “con credenciales” es enorme, pero la información operativa sigue teniendo valor criminal.
El caso también recuerda que muchas brechas no nacen en el servicio visible al cliente. Aquí el punto de entrada viene de un proveedor tecnológico anterior y de integraciones de terceros. Cuando una conexión de ese tipo cae, el inventario afectado puede crecer rápido y arrastrar a varias compañías al mismo tiempo.
Sin nombres ni pagos, pero con material suficiente para phishing dirigido
Inditex comunicó que activó sus protocolos de seguridad y empezó a notificar a las autoridades competentes. En su aviso, la empresa subrayó que el acceso no alcanzó información privada como nombres, números de teléfono, direcciones, credenciales de acceso o datos de pago. Esa precisión cambia la lectura del incidente, porque separa la exposición de datos de la toma de control de cuentas.
El problema no termina ahí. Con correos, compras y tickets de soporte, un atacante puede construir mensajes que parezcan legítimos y usar referencias concretas de pedidos o incidencias. Ese tipo de phishing suele tener más recorrido que los correos genéricos, precisamente porque mezcla datos reales con una excusa creíble.
El archivo de 140GB y el efecto dominó en otras compañías
ShinyHunters dijo haber robado un archivo de 140GB extraído de instancias de BigQuery. El mismo incidente ya ha salpicado a otras compañías, porque el acceso a integraciones compartidas puede abrir la puerta a un lote de víctimas distintas. En la práctica, un solo punto débil en un proveedor puede acabar convertido en una lista larga de organizaciones afectadas.
Lo que viene después pasa por dos frentes. Uno es técnico: revisar qué sistemas seguían conectados a ese proveedor y qué datos quedaron expuestos. El otro es operativo: asumir que los 197.400 correos asociados al data breach de Zara pueden circular en intentos de fraude mucho más personalizados que un ataque masivo convencional.
La filtración no deja a Zara con credenciales robadas ni con pagos comprometidos, pero sí con suficiente información para complicar la vida a sus clientes. Y en una brecha así, esa diferencia entre acceso parcial y robo completo es la que marca el alcance real del incidente.
Qué diferencia este data breach de una filtración más grave
En el análisis del caso, la frontera está clara: no hubo nombres, no hubo contraseñas y no hubo tarjetas. Eso limita el daño inmediato y reduce la posibilidad de secuestro de cuentas de forma directa. Sin embargo, el material publicado sigue siendo sensible porque enlaza identidades de correo con actividad de compra y soporte.
Por eso este data breach encaja en una categoría muy concreta: no es la peor clase de filtración, pero tampoco una anécdota menor. El archivo de 140GB y los 197.400 correos dibujan un escenario en el que el siguiente movimiento probablemente no sea técnico, sino fraudulento.
Puedes seguir a HardwarePremium en Facebook, Twitter (X), Instagram, Threads, BlueSky o Youtube. También puedes consultar nuestro canal de Telegram para estar al día con las últimas noticias de tecnología.
FAQ
Según el análisis citado, se expusieron 197.400 correos, registros de compra y tickets de soporte. También aparecían SKU de producto, IDs de pedido y ubicaciones geográficas asociadas a los tickets.
Inditex afirma que no se accedió a nombres, números de teléfono, direcciones, credenciales ni información de pago. Eso reduce el riesgo directo, aunque no elimina el uso fraudulento de los datos expuestos.
Porque un correo real, unido a compras y tickets de soporte, permite diseñar phishing más creíble. Un atacante puede mencionar pedidos, incidencias o mercados concretos para aumentar las probabilidades de engaño.
El incidente forma parte de la brecha que afectó a Anodot, una plataforma de analítica en la nube con integraciones externas. ShinyHunters se atribuyó el ataque y difundió un archivo de 140GB supuestamente extraído de instancias de BigQuery.
