Harrods, el histórico grupo británico de grandes almacenes conocido por su exclusividad y clientela internacional, se enfrenta a un segundo ciberataque que, aunque no tiene vinculación con el primero, vuelve a filtrar datos. El pasado viernes, la compañía notificó que había sufrido un ataque informático que comprometió los datos de unos 430.000 clientes, incluyendo nombres, datos de contacto, información de tarjetas de fidelización y preferencias de marketing.
Aunque la empresa aseguró que no se vieron afectadas contraseñas ni datos de pago, la magnitud del incidente ha generado preocupación entre usuarios y expertos en ciberseguridad. Se trata del segundo ataque en apenas cuatro meses, después de que en mayo la compañía tuviera que aislar sus sistemas de Internet tras detectar otra brecha.
¿Qué datos fueron comprometidos?
Según la información oficial difundida por Harrods a sus clientes, la intrusión se produjo a través de un proveedor externo, lo que apunta a la cada vez más común estrategia de los ciberdelincuentes de atacar eslabones débiles dentro de las cadenas de suministro digital.
Los datos comprometidos incluyen:
-
Nombres y datos de contacto (correo electrónico, teléfono, direcciones).
-
Información sobre tarjetas de fidelización.
-
Preferencias de marketing y vínculos con otras empresas colaboradoras.
Aunque la compañía minimizó el alcance señalando que “es poco probable que esta información sea interpretada con precisión por un tercero no autorizado”, lo cierto es que estos datos tienen un alto valor en el mercado negro digital. La combinación de información personal con hábitos de consumo es material codiciado para campañas de phishing dirigidas o fraudes relacionados con el lujo.
Harrods, un objetivo recurrente
Este incidente no está relacionado con el ataque de mayo, según la compañía. En aquella ocasión, Harrods reconoció que la brecha obligó a cortar el acceso a Internet en sus oficinas para contener el problema, aunque aseguró que la actividad en tiendas físicas y en su web no se vio afectada.
Sin embargo, la coincidencia temporal vuelve a colocar a la empresa en el centro del debate. En mayo, Harrods, Marks & Spencer y Co-op Group fueron víctimas de un ataque coordinado que llevó a la National Crime Agency (NCA) británica a detener a cuatro sospechosos. Todo apunta a que, aunque el ataque de septiembre no esté vinculado, Harrods sigue siendo un objetivo prioritario para los ciberdelincuentes.
El sector del lujo bajo amenaza
El caso de Harrods no es aislado. Las empresas de lujo, por su perfil internacional, su clientela de alto poder adquisitivo y la gran cantidad de datos que manejan, se han convertido en un blanco atractivo para la ciberdelincuencia.
Un informe de McKinsey apunta a que el coste global de los ciberataques alcanzará los 10,5 billones de dólares en 2025, un 300% más que hace una década. El comercio minorista y, en particular, las marcas de lujo, están en el punto de mira por varias razones:
-
Clientes de alto valor: sus bases de datos incluyen perfiles muy codiciados para fraudes financieros.
-
Ecosistemas digitales complejos: plataformas de e-commerce, programas de fidelización, apps móviles y proveedores externos multiplican las superficies de ataque.
-
Reputación delicada: una filtración puede dañar la imagen de exclusividad que estas marcas cultivan durante décadas.
El vector del proveedor externo
Uno de los aspectos más preocupantes de este ataque es que se originó en un proveedor externo. Este tipo de incidentes, conocidos como ataques a la cadena de suministro, son cada vez más frecuentes.
En la práctica, significa que no basta con proteger los sistemas internos: la seguridad de una empresa es tan fuerte como el eslabón más débil de sus socios tecnológicos. Casos como el de SolarWinds en 2020 o el reciente ataque a MOVEit han demostrado cómo un fallo en un tercero puede tener repercusiones globales.
