Cyber Incident Victim: El Corte Inglés
Date:
Mar 2025
Location:
Spain
Summary
El Corte Inglés experienceda cyberattack after an external provider suffered unauthorized access to its customer databases, exposing personal identification, contact details and purchase card numbers of thousands of users. The company stated that the compromised data does not allow third parties to perform transactions or payments with the cards, and that the breach was quickly detected and remedied. It notified authorities and affected individuals, assured that its services remain secure, and clarified that it will never contact users by email or phone to request security codes or passwords. The incident adds to a series of recent data leaks affecting other major organizations, highlighting risks such as identity theft, phishing and fraud.
| CIA Posture | Motives | Tactics, Techniques & Procedures |
|---|---|---|
| Available to members | 1 motive | 1 technique |
| Threat Actors | Type | Location |
|---|---|---|
| 0 actors | Available to members | Available to members |
Description
El CorteInglés sufrió un ciberataque que afectó la privacidad y seguridad de los datos personales de la mayor parte de sus usuarios. La compañía explicó que la fuga de información se debió a que un proveedor externo sufrió un acceso no autorizado a las bases de datos de los clientes. El problema se detectó de forma muy rápida y, según ha comunicado la empresa, ha sido subsanado. Sin embargo, la filtración se ha producido. El grupo español ha informado a todas las autoridades y también a los afectados. Ha reconocido que los ciberdelincuentes han conseguido tener acceso a datos identificativos y de contacto de los clientes y al número de tarjetas de compras de El Corte Inglés.
El Corte Inglés llama a la calma. Tal y como explica la Organización de Consumidores y Usuarios (OCU), desde los servicios de atención al cliente de El Corte Inglés hacen un llamamiento a la calma. Además, garantizan que las operaciones que se realicen son totalmente seguras. Por otro lado, han querido dejar claro que desde los grandes almacenes nunca se van a poner en contacto con los usuarios afectados por ningún medio, es decir, ni por correo electrónico ni teléfono, para solicitar algún tipo de código de seguridad u contraseña. No obstante, han señalado que de haber detectado este problema, la información que ha sido vulnerada no permite a terceros hacer operaciones ni realizar pagos con sus tarjetas. La OCU ha explicado cuáles son algunos de los riesgos que conlleva una filtración de datos. El primero de ellos, y quizás uno de los más importantes, es la suplantación de identidad. Esto quiere decir que con los datos personales que se consiguen, los delincuentes pueden abrir cuentas bancarias a nombre del afectado, solicitar préstamos o incluso realizar transacciones fraudulentas. Por otro lado, la institución ha hablado de que se puede ser víctima de ciberestafas. Si han conseguido números de teléfono o direcciones de correo electrónico, se pueden usar para enviar phishing, en cualquiera de sus modalidades, y conseguir nueva información, como contraseñas o datos bancarios. Y por último, se puede ser víctima directa de un fraude. Esto se debe a que los datos se pueden vender en mercados ilegales, por lo que una persona puede terminar siendo víctima de ciertas campañas de spam y otro tipo de ataques cibernéticos. El Corte Inglés se suma, por lo tanto, a una larga lista de empresas y organismos que se han visto afectados durante estos meses con ciberataques. Por ejemplo, hay que destacar los casos de Banco Santander, Ticketmaster o el Consorcio de Transportes de Madrid, entre otros.