El Corte Inglés ha comunicado a sus clientes que se ha producido un acceso no autorizado a datos personales debido a una brecha de seguridad en uno de sus proveedores externos. Este incidente, que ha generado alarma entre los usuarios y ha puesto de nuevo en el foco la ciberseguridad de grandes empresas, compromete información identificativa y financiera de miles de clientes, aunque la compañía asegura que no hay riesgo inmediato de fraude.
Según un correo electrónico enviado por El Corte Inglés a sus clientes en la madrugada del 3 de marzo, un proveedor externo —cuya identidad no ha sido revelada— ha sufrido un «acceso no autorizado» a datos personales de los usuarios de la compañía. La brecha fue detectada y subsanada de inmediato gracias a los protocolos de seguridad internos de El Corte Inglés, quienes también han exigido al proveedor afectado medidas adicionales para evitar futuros incidentes. Los hechos han sido puestos en conocimiento de las autoridades competentes, que presumiblemente ya están investigando el caso.
Han hackeado a El Corte Inglés y les han robado tus datos personales y el número de tu tarjeta. ¿Cómo comparten esa información con terceros y encima sin cifrar? ¿Por qué no identifican al proveedor hackeado? pic.twitter.com/Qjab9ytzAL
— Don Isaac (@don_isaac_j) March 2, 2025
El comunicado oficial detalla que los datos comprometidos incluyen información identificativa (como nombres y apellidos), datos de contacto (direcciones y posiblemente correos electrónicos o números de teléfono) y números de tarjetas asociadas exclusivamente a compras en El Corte Inglés. La empresa ha enfatizado que esta información «no permite a terceros operar ni realizar pagos» con las tarjetas afectadas, asegurando que los clientes pueden seguir utilizándolas con normalidad tanto en sus tiendas físicas como en la web y la aplicación móvil.
La notificación, enviada con el asunto genérico «Información de interés» y programada para llegar en horas de la madrugada, ha generado críticas entre algunos usuarios por su falta de claridad inicial y el momento elegido para la comunicación. En redes sociales como X, clientes han expresado su frustración: «Han hackeado a El Corte Inglés y les han robado tus datos personales y el número de tu tarjeta. ¿Cómo comparten esa información con terceros y encima sin cifrar?», se preguntaba un usuario, mientras otro ironizaba: «Tranquilos que lo sienten mucho y no volverá a pasar».
Aunque El Corte Inglés no ha especificado cuántos clientes se han visto afectados ni el volumen exacto de datos comprometidos, el incidente se suma a una ola reciente de ciberataques a grandes empresas españolas, como Telefónica, Iberdrola o Ticketmaster, lo que sugiere que podría tratarse de una operación coordinada o de un aumento en la actividad de ciberdelincuentes. Hasta el momento, no hay evidencia pública de que los datos hayan sido puestos a la venta en la dark web, como ocurrió en un incidente previo en junio de 2024, cuando se filtraron datos de 27.000 clientes de la compañía, robados a través de malware en dispositivos de terceros.
Este no es el primer roce de El Corte Inglés con problemas de ciberseguridad. En 2016, un grupo vinculado a Anonymous hackeó una web proveedora de la compañía, revelando supuestos pagos a medios de comunicación y periodistas, así como donaciones a instituciones como la Iglesia Católica y la Policía Nacional. Más recientemente, en junio de 2024, ciberdelincuentes pusieron a la venta en foros de la deep web datos de 27.000 clientes, incluyendo contraseñas y accesos a portales de gestión, aunque la empresa negó entonces que sus sistemas internos hubieran sido comprometidos, atribuyendo el robo a un ataque externo.
El incidente de hoy refuerza la percepción de que las brechas de seguridad en proveedores externos son un talón de Aquiles para grandes corporaciones. Casos similares han afectado a empresas como Orange, Endesa y Telefónica en los últimos años, evidenciando la necesidad de un mayor control sobre las cadenas de suministro tecnológico.
El Corte Inglés ha insistido en que no hay riesgo inmediato de fraude financiero, ya que los datos de las tarjetas comprometidas no incluyen información suficiente (como códigos CVV o fechas de caducidad) para realizar transacciones. Sin embargo, la exposición de datos identificativos y de contacto aumenta el riesgo de ataques de phishing o suplantación de identidad. Por ello, la compañía ha recordado a sus clientes que nunca solicitará contraseñas, códigos de seguridad o datos confidenciales por teléfono, correo o SMS, y ha puesto a disposición su servicio de atención al cliente (900 334 334) y el correo delegado.protecciondatos@elcorteingles.es para resolver dudas.
Expertos en ciberseguridad, por su parte, recomiendan a los afectados cambiar las contraseñas de sus cuentas en la web de El Corte Inglés, especialmente si las reutilizan en otros servicios, y estar atentos a correos o mensajes sospechosos que puedan intentar aprovechar esta filtración. Aunque la empresa asegura que el incidente está controlado, la falta de detalles sobre el proveedor hackeado y el alcance exacto del ataque ha generado escepticismo entre algunos usuarios y analistas.
A nosotros,nos enviaron un e-mail,diciendo que solo a los clientes que tienen tarjeta de pago de este centro comercial.Esperemos que así sea.