Inditex sufre un ataque informático con acceso a bases de datos internas

Inditex ha comunicado en la noche del miércoles haber sufrido un acceso no autorizado a bases de datos de la compañía, que estaban alojadas en servidores de un tercer proveedor.

El grupo textil gallego dice que esas bases de datos “contienen información de la relación comercial con clientes de diferentes mercados, pero en ningún caso datos tales como nombre y apellidos, teléfono, domicilio, contraseñas, tarjetas bancarias u otros medios de pago”, por lo que, en principio, descarta que se hayan visto afectados datos de índole personal de los clientes.

La compañía dueña de Zara explica que ha trasladado el incidente a las “autoridades correspondientes”, después de haber aplicado “inmediatamente” sus protocolos de seguridad. La brecha de seguridad, añade, “tiene su origen en un incidente sufrido por un antiguo proveedor tecnológico que ha afectado a diversas compañías con actividad internacional”. “Las operaciones y los sistemas de Inditex no han sufrido afectación alguna y los clientes pueden seguir accediendo y operando con total seguridad”, dice la compañía en un comunicado compartido con medios.

Como es habitual en este tipo de multinacionales, Inditex identifica la ciberseguridad como uno de los elementos de su mapa de riesgos. “Dado el elevado grado de digitalización e integración tecnológica del modelo de negocio, la eventual materialización de incidencias de carácter tecnológico —derivadas, entre otros factores, de fallos de infraestructura, incidentes de ciberseguridad, errores en aplicaciones o dificultades en la interacción con terceros tecnológicos— podría tener un impacto transversal en la actividad del grupo, afectando al normal desarrollo de los procesos operativos y comerciales", dice en su última memoria anual. Algo esto último que, según lo explicado por la compañía, no ha sucedido.

Inditex cuenta con un comité de seguridad de la información, dedicado a la “mitigación de riesgos tecnológicos y de ciberseguridad”, así como a la “protección de la información crítica del grupo”, y en el que están presentes, entre otros altos directivos, el consejero delegado, Óscar García Maceiras.

Además, en 2023 dio forma a un comité asesor de ciberseguridad, que sirve de órgano consultor del consejo de administración en materia de seguridad de la información. Por ejemplo, este órgano se reunió en cinco ocasiones en 2025, en los que se revisaron “los riesgos del contexto geopolítico, el impacto de la inteligencia artificial, las amenazas más habituales y las nuevas técnicas de intrusión, destacando la necesidad de reforzar la formación y la concienciación interna”, tal y como describe la memoria anual del grupo.

La misma explica los diferentes equipos con los que cuenta en esta materia: uno especializado en ciberinteligencia; o un centro de operaciones de seguridad en funcionamiento las 24 horas del día, “encargado de la detección, análisis, notificación y resolución de los potenciales eventos de seguridad que puedan afectar a la compañía”. Durante 2025, este identificó 66 eventos de interés que fueron reportados al comité de seguridad, sin impactos reseñables.

No es el primer caso de una empresa española de retail que sufre un ataque informático con acceso a bases de datos.

En octubre, Mango comunicó haber sufrido un acceso no autorizado a ciertos datos personales de los clientes, a través de un servicio de marketing externo. Los ciberdelincuentes pudieron obtener datos personales utilizados en campañas de marketing; nombres sin apellidos, país de origen, códigos postales, teléfonos y direcciones de correo electrónico.

Otra gran empresa del sector, El Corte Inglés, sufrió en marzo del año pasado un ataque informático que permitió el acceso a los ciberdelincuentes de datos personales de los clientes del grupo de distribución, que también estaban alojados en un proveedor externo.