El reciente incidente que ha afectado a Mango ha puesto sobre la mesa una realidad que inquieta a toda la industria del marketing y la comunicación: los ciberataques han cambiado su estrategia.
Ya no centran sus esfuerzos en vulnerar las grandes corporaciones, sino en atacar a sus socios tecnológicos y agencias externas. Un nuevo tipo de amenaza que crece con rapidez en España y en el resto de Europa.
La vulnerabilidad de las cadenas de suministro digitales se ha convertido en el punto débil de muchas compañías. Los proveedores de servicios de marketing gestionan datos, accesos y plataformas sensibles, pero con frecuencia carecen de los recursos y controles de seguridad que tienen las grandes empresas.
Esta asimetría convierte a las agencias en un objetivo especialmente atractivo para los atacantes.
El matiz sobre el ciberataque a Mango
El 14 de octubre de 2025, Mango informó a sus clientes de un acceso no autorizado a datos personales procedente de un servicio externo de marketing.
Los intrusos obtuvieron información de contacto —nombres, correos electrónicos, teléfonos y códigos postales— utilizada en campañas promocionales.
Aunque la empresa aseguró que su infraestructura interna no se vio comprometida, el episodio dejó al descubierto el riesgo inherente a la interconexión digital.
La compañía no ha revelado el nombre del proveedor implicado, pero el suceso refleja un patrón cada vez más frecuente.
Los ciberdelincuentes aprovechan los puntos de conexión con terceros para penetrar en ecosistemas empresariales que, de otro modo, estarían bien protegidos. Esta estrategia, basada en explotar el eslabón más débil de la cadena, puede transformar el panorama de la ciberseguridad.
Los proveedores externos, objetivo de los ciberataques
Durante los últimos dos años, España ha sido testigo de múltiples brechas de seguridad vinculadas a proveedores externos. En 2024, Banco Santander sufrió una filtración masiva que afectó a unos 30 millones de personas debido al compromiso de un tercero.
Iberdrola notificó la exposición de datos de 850.000 clientes por fallos en un proveedor de software, mientras que Tendam y Telefónica también reconocieron incidentes similares.
El Centro Criptológico Nacional (CCN-CERT) registró 97.348 incidentes de ciberseguridad en 2024, un aumento del 16,6% respecto al año anterior. De ellos, más de un tercio estuvieron relacionados con la cadena de suministro digital.
Según ENISA, la agencia europea de ciberseguridad, el riesgo de terceros es ya la principal preocupación para el 54% de las grandes organizaciones europeas.
La nueva vía de ataque: agencias de marketing y consultoras
El caso de Mango no es un hecho aislado. En septiembre de 2024, investigadores de Panda Security detectaron una campaña masiva dirigida a agencias de marketing españolas.
Los atacantes usaban LinkedIn para hacerse pasar por directivos de grandes empresas y enviar documentos falsos que contenían malware. El nivel de éxito fue alarmante: más del 85% de las agencias contactadas descargaron los archivos maliciosos creyendo que eran solicitudes reales de proyectos.
El ataque ilustra un cambio de paradigma: los ciberdelincuentes ya no buscan vulnerar las defensas más sofisticadas, sino infiltrarse a través de la confianza y la ingeniería social.
Las agencias, al manejar información de múltiples clientes y acceder a plataformas corporativas, se convierten en un canal privilegiado para alcanzar objetivos de mayor envergadura.
Las agencias de marketing como eslabón más débil
La mayoría de las agencias de marketing y medios manejan grandes volúmenes de datos de clientes, credenciales de acceso, información de campañas y cuentas publicitarias. Sin embargo, muchas pequeñas y medianas agencias no disponen de departamentos dedicados a la ciberseguridad ni de políticas estrictas de gestión de accesos.
Este déficit de protección genera una superficie de ataque amplia y difícil de controlar. A menudo se utilizan contraseñas compartidas, equipos personales o redes domésticas sin cifrado adecuado. Además, el trabajo con freelancers y colaboradores externos aumenta el riesgo de fugas accidentales o de intrusiones deliberadas.
De acuerdo con Deloitte, el 68% de los responsables de seguridad en España consideran la gestión de riesgos de terceros como uno de sus principales desafíos. Este escenario obliga a repensar la relación entre anunciantes y proveedores tecnológicos, especialmente en sectores tan interconectados como la publicidad digital.
Un marco normativo más estricto
Europa ha comenzado a responder a esta amenaza. La Directiva NIS2, en vigor desde octubre de 2024, exige a las empresas de sectores críticos aplicar controles de seguridad en toda su cadena de suministro.
Por su parte, el reglamento DORA, que entrará en aplicación plena en 2025, establece obligaciones específicas para que las entidades financieras gestionen los riesgos derivados de proveedores tecnológicos externos.
Estas normas refuerzan la responsabilidad compartida entre empresas y terceros, introduciendo sanciones económicas por negligencia y obligando a realizar auditorías periódicas.
Además, fomentan la adopción de medidas como la autenticación multifactor, la segmentación de datos y el cifrado de información sensible tanto en tránsito como en reposo.
