Ya es oficial: la base de datos robada a través del proveedor tecnológico de El Corte Inglés ha sido publicada y puesta a la venta en foros de la dark web. Aunque la compañía detectó y solucionó el incidente a principios de marzo, los ciberdelincuentes han aprovechado la filtración para monetizar la información personal de millones de usuarios.
Según lo notificado por varios analistas y medios especializados, los datos se han publicado en BreachForums, uno de los foros más activos en compraventa de bases de datos robadas. El precio: 15.000 dólares por el paquete completo.
El paquete incluiría hasta 12 millones de registros con nombres, apellidos, direcciones de correo electrónico, números de teléfono y números de tarjeta cliente de El Corte Inglés. Aunque estas tarjetas no permiten realizar pagos ni acceder a cuentas bancarias, los riesgos de suplantación de identidad, phishing y otros fraudes son considerables.
🚨UPDATE
🇪🇸 Spain – It appears that data from El Corte Inglés is now up for sale https://t.co/7n5LD4XGWi pic.twitter.com/4l612FrG51
— HackManac (@H4ckManac) March 22, 2025
https://platform.twitter.com/widgets.js
Qué información se ha filtrado
Los datos puestos a la venta incluyen:
-
Nombre y apellidos
-
Correo electrónico
-
Número de teléfono
-
Número de tarjeta cliente (no bancaria)
Desde El Corte Inglés se ha recalcado que esta información no permite realizar compras ni acceder a cuentas personales. No obstante, la exposición de esta información es suficiente para que los usuarios se conviertan en blanco de múltiples amenazas digitales.
¿Qué pueden hacer los atacantes con esta información?
Aunque no se trata de información bancaria, los ciberdelincuentes saben perfectamente cómo exprimir el valor de los datos personales. Aquí algunas de las técnicas más frecuentes:
1. Phishing dirigido
Con nombre, correo y teléfono, los atacantes pueden diseñar campañas de phishing mucho más creíbles. Por ejemplo, podrían enviarte un correo que parezca de El Corte Inglés para “verificar tu cuenta” y así robarte contraseñas reales o datos bancarios.
2. Suplantación de identidad
Los datos filtrados pueden utilizarse para hacerse pasar por ti en otros servicios. Desde redes sociales hasta servicios de atención al cliente o plataformas de comercio electrónico, la identidad digital se vuelve más vulnerable.
3. Venta en otros foros
La base de datos podría revenderse en lotes más pequeños en otros foros ilegales, alimentando un mercado negro constante de spam, estafas telefónicas y ataques por SMS (smishing).
Qué recomienda la OCU y otros expertos
La Organización de Consumidores y Usuarios (OCU) ha emitido una serie de recomendaciones para que los usuarios afectados protejan su información y eviten ser víctimas de nuevas amenazas:
-
No respondas a correos, llamadas ni mensajes sospechosos. El Corte Inglés nunca pedirá contraseñas ni datos personales por estos medios.
-
Verifica la autenticidad de los mensajes. Si recibes un aviso extraño, intenta contactar con el remitente por canales oficiales antes de hacer clic o dar información.
-
Controla tus extractos bancarios y movimientos de cuenta. Aunque las tarjetas filtradas no son de pago, podrían haberse producido filtraciones paralelas.
Aunque la filtración no incluye claves de acceso, es altamente recomendable cambiar tu contraseña de acceso a la cuenta de El Corte Inglés. Y si usas esa misma contraseña en otros servicios —un error común—, cámbiala también allí.
Una contraseña robusta, combinada con autenticación en dos pasos, reduce drásticamente el riesgo de que los atacantes puedan acceder a tus cuentas.
El problema de fondo: la seguridad de los proveedores
Este caso vuelve a poner sobre la mesa una preocupación creciente en ciberseguridad: la dependencia de terceros y la seguridad en la cadena de suministro digital.
El Corte Inglés no fue directamente atacado. El fallo de seguridad ocurrió en uno de sus proveedores tecnológicos. Y, como ocurre cada vez con más frecuencia, las grandes empresas están tan protegidas como lo estén sus socios más pequeños.
