El grupo textil Inditex ha informado que en las últimas horas se ha producido un ciberataque a sus bases de datos internas. La compañía ha asegurado que el incidente se ha originado en un servidor de un tercero y que en ningún caso se ha visto afectada la información sobre datos personales de sus clientes. El incidente se comunicó sobre las 23:00 horas de este miércoles.
El grupo ha especificado que estas bases de datos comprometidas tienen “información de la relación comercial con clientes de diferentes mercados”. Especifica que no se han extraído ni referencias a cuentas bancarias, nombres y apellidos, teléfono, domicilio, contraseñas, tarjetas bancarias u otros medios de pago u otra información de clientes directos de la firma de moda.
La empresa asegura que ha aplicado inmediatamente sus protocolos de seguridad y ha iniciado la notificación a las autoridades correspondientes sobre este acceso no autorizado.
El origen de este acceso no autorizado, explica en el comunicado, tiene su origen en un incidente sufrido por un antiguo proveedor tecnológico que ha afectado a diversas compañías con actividad internacional.
"Las operaciones y los sistemas de Inditex no han sufrido afectación alguna y los clientes pueden seguir accediendo y operando con total seguridad", concluye el comunicado.
Estrategia de control y seguridad
Como garantía de su compromiso con la seguridad de la información, en Inditex contamos desde diciembre de 2017 con el certificado ISO 27001, estándar internacional en seguridad de la información. Esta certificación, obtenida tras superar una auditoría externa, cuenta con las estrictas medidas de seguridad llevadas a cabo en las actividades de control, monitorización y mantenimiento de las infraestructuras necesarias para ofrecer el mejor servicio a través de sus tiendas en línea.
En 2023, a nivel interno de la compañía, se constituyó un comité asesor de ciberseguridad. Este comité es un órgano de carácter consultivo y composición multinacional, integrado por expertos independientes en materia de ciberseguridad, que reta al responsable de ciberseguridad y presta un asesoramiento estratégico e independiente tanto a los órganos de gobierno como al equipo directivo. En este comité, se debaten periódicamente los riesgos de ciberseguridad y las estrategias y planes de mitigación.
El grupo remarca su compromiso para impedir cualquier acción que atente contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos, así como el uso indebido de dichos sistemas, redes y datos para actividades fraudulentas, delitos informáticos o que ponga en peligro la seguridad de nuestros clientes, proveedores y empleados.
Mango, también
El pasado mes de octubre, Mango también informó de un acceso no autorizado a una base de datos de clientes. La vulneración, que se ha producido a través de uno de los servicios externos que la empresa utiliza para campañas de marketing, ha expuesto información de contacto personal de un número aún no cuantificado de clientes.
Según fuentes de la compañía, la información afectada "se limita a los datos de contacto personales utilizados en campañas de marketing". En concreto, se trata del nombre, el país, el código postal, la dirección de correo electrónico y el número de teléfono.