- Un actor malicioso afirma haber obtenido datos de más de 16 millones de cuentas de PcComponentes, con información personal y de pedidos.
- La empresa niega una intrusión directa en sus sistemas y habla de un ataque de relleno de credenciales aprovechando contraseñas filtradas en otros servicios.
- PcComponentes asegura que no se han visto comprometidos datos bancarios ni contraseñas en texto claro, y que el incidente ha afectado solo a algunos clientes.
- La compañía ha activado medidas adicionales como CAPTCHA, 2FA obligatorio e invalidación de sesiones, mientras los expertos recomiendan cambiar contraseñas y extremar la precaución ante el phishing.
El reciente incidente de seguridad en PcComponentes, uno de los mayores comercios electrónicos de tecnología en España, ha encendido todas las alarmas entre clientes y expertos en ciberseguridad. Entre las afirmaciones de un supuesto hacker y la versión oficial de la compañía, muchos usuarios se preguntan hasta qué punto pueden haberse visto afectados sus datos personales.
En las últimas horas han circulado mensajes en foros especializados en filtraciones de datos donde un actor malicioso asegura disponer de millones de registros de clientes de PcComponentes, mientras que la empresa sostiene que no ha sufrido una brecha directa en su infraestructura, sino un ataque de relleno de credenciales aprovechando contraseñas previamente filtradas en otros servicios. En medio de este cruce de versiones, conviene repasar qué se sabe, qué niega la compañía y qué pueden hacer los usuarios.
El origen de la alerta: un hacker afirma vender datos de millones de usuarios
La polémica arranca cuando un ciberdelincuente que opera bajo el alias “daghetiav” o “daghetiaw” publica en un conocido foro de compraventa de bases de datos robadas que tiene en su poder información masiva de clientes de PcComponentes. Este usuario afirma haber obtenido 16.384.110 registros individuales pertenecientes al ecommerce murciano.
Según el anuncio de este actor de amenazas, la supuesta base de datos incluiría NIF o DNI, nombres y apellidos, direcciones completas con código postal, teléfonos, correos electrónicos y otros datos asociados a cada cuenta. También asegura disponer de historiales de pedidos, facturas, tickets de Zendesk con comunicaciones con el soporte de la tienda, información sobre listas de deseos y ranking interno de los usuarios, además de detalles técnicos como la dirección IP.
El supuesto atacante va más allá y asegura que entre la información habría datos bancarios, tipo de tarjeta y fecha de caducidad, además de “otras piezas de información” no detalladas. Para dar credibilidad a su oferta, afirma haber liberado una muestra gratuita de 500.000 registros como prueba de que el material sería auténtico, aunque esos enlaces no son accesibles de forma pública.
En el propio foro se señala que este usuario se registró en 2023 y que, aunque es considerado un miembro destacado por su actividad, no se le conocían previamente grandes filtraciones, por lo que podría tratarse de alguien que actúa en solitario o con poca trayectoria visible en ataques de alto perfil.
La versión oficial: PcComponentes habla de ataque de relleno de credenciales
Tras la difusión de estas afirmaciones en redes y foros de ciberseguridad, PcComponentes ha difundido un comunicado en el que defiende que no ha habido una intrusión directa en sus sistemas. La empresa sostiene que, tras una investigación interna, “no tienen constancia de una brecha de seguridad” en su infraestructura ni de un acceso ilegítimo a sus bases de datos.
La compañía explica que lo que han detectado se corresponde con un ataque de credential stuffing o relleno de credenciales. Este tipo de ataque se basa en el uso masivo y automatizado de combinaciones de emails y contraseñas obtenidas de filtraciones anteriores en otros servicios ajenos al afectado. Los atacantes toman bases de datos que circulan por foros y webs en la red y prueban esas credenciales una y otra vez en múltiples plataformas, confiando en que los usuarios reutilicen la misma contraseña.
Cuando una persona emplea la misma clave en varias páginas, este enfoque permite al atacante entrar en cuentas que no han sido directamente hackeadas, sino que se ven comprometidas por la reutilización de credenciales robadas en otros incidentes. En el caso concreto de PcComponentes, la empresa señala que se han detectado accesos no autorizados a cuentas de algunos clientes, obteniendo desde ahí determinada información personal ligada a esos perfiles.
PcComponentes también hace hincapié en que, a su juicio, la cifra de 16 millones de usuarios afectados no se corresponde con la realidad. La firma subraya que el número de cuentas activas en su plataforma es “marcadamente inferior” y que, en cualquier caso, el acceso ilegítimo no habría sido masivo, sino limitado a un conjunto concreto de clientes cuyas credenciales ya habrían sido comprometidas en otros servicios.
Qué datos se habrían visto expuestos y qué descarta la empresa
En su mensaje público, PcComponentes detalla las categorías de datos personales que podrían haberse visto afectados por estos accesos no autorizados. Entre ellos, la compañía menciona nombre y apellidos, DNI o NIF cuando el usuario lo haya facilitado, dirección postal, dirección IP, correo electrónico y número de teléfono vinculado a la cuenta.
La empresa insiste en que no se han visto comprometidos en ningún momento datos bancarios o financieros, porque, según recalca, PcComponentes no almacena directamente la información de las tarjetas. En su lugar, el comercio explica que solo conserva un token o código de seguridad que sirve para identificar el pago dentro del sistema del proveedor, pero que no permite ver el número de tarjeta ni efectuar cargos por sí solo ni tiene utilidad fuera del entorno de pago.
Otro punto clave es el tratamiento de las contraseñas. PcComponentes recuerda que las claves de acceso de los clientes no se guardan en texto claro en su base de datos, sino que se almacenan como códigos cifrados (hash). Este procedimiento es estándar en ciberseguridad y está diseñado para que, incluso en caso de acceso a la base de datos, nadie pueda recuperar la contraseña original a partir del hash, dado que el proceso es irreversible.
Frente a las acusaciones del hacker, que habla de información extremadamente sensible e incluso de datos de pago, la compañía se muestra tajante al negar que se haya producido un robo de información financiera desde sus sistemas. Aun así, admite que el acceso indebido a cuentas de algunos usuarios supone una exposición relevante de sus datos personales y que la situación requiere medidas adicionales de protección.
En este contexto, muchos especialistas advierten de que, aunque la empresa niegue una intrusión en su infraestructura, la combinación de datos personales detallados, historiales de pedidos y comunicaciones con soporte que el atacante dice tener en su poder podría utilizarse para campañas de suplantación de identidad muy creíbles, lo que aumenta el riesgo para los clientes. Estos campañas de suplantación suelen aprovechar datos reales para ganar confianza y engañar con mayor facilidad.
Medidas de seguridad activadas por PcComponentes tras el incidente
Una vez identificado el patrón de accesos sospechosos, PcComponentes afirma haber reforzado sus controles de seguridad en el área de inicio de sesión y en la gestión de cuentas de usuario. Entre las primeras actuaciones, la empresa ha activado la implantación de sistemas CAPTCHA en el proceso de login, con el objetivo de frenar los intentos automatizados realizados por bots o scripts que prueban listas de credenciales a gran escala.
Además, el ecommerce ha establecido la obligatoriedad de un segundo factor de autenticación (2FA) mediante el envío de un código de verificación por correo electrónico. A partir de ahora, para acceder a la cuenta no bastará con introducir usuario y contraseña, sino que será necesario confirmar el acceso con ese código adicional, lo que complica la labor de los atacantes aunque dispongan de la clave.
Otra medida relevante ha sido la invalidación de todas las sesiones activas. Esto implica que los usuarios han tenido que volver a iniciar sesión desde cero bajo las nuevas condiciones de seguridad, evitando que sesiones abiertas con credenciales potencialmente comprometidas siguieran en uso sin control.
Desde la compañía se señala que estas acciones preliminares permiten reforzar de forma significativa la protección de las cuentas y reducir el riesgo de nuevos accesos ilegítimos aprovechando bases de datos filtradas en otros servicios. Se trata de medidas habituales en incidentes de relleno de credenciales, ya que obligan a los atacantes a superar no solo la contraseña, sino también barreras adicionales como el CAPTCHA y el 2FA.
Junto a estos cambios técnicos, PcComponentes ha reiterado públicamente su compromiso con la seguridad y la privacidad de los datos personales e indica que sigue monitorizando la situación, al tiempo que colabora con expertos y, previsiblemente, con las autoridades competentes en materia de protección de datos.
Posibles implicaciones legales y riesgos para los usuarios
Más allá del aspecto técnico del ataque, este tipo de incidentes tiene relevancia directa en el ámbito legal y regulatorio, especialmente dentro de la Unión Europea y España, donde el marco del RGPD y la normativa de protección de datos fija obligaciones claras para las empresas.
En situaciones donde se produce una exposición significativa de datos personales, las compañías están obligadas a comunicar el incidente a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tienen constancia de la brecha, siempre que exista un riesgo para los derechos y libertades de las personas afectadas. Además, cuando el riesgo es elevado, se debe informar de manera directa a los usuarios, explicando qué ha ocurrido y qué medidas pueden adoptar.
Independientemente de si se considera o no una brecha interna de los sistemas, el hecho de que un tercero pueda haber accedido a cuentas de clientes y a su información personal a través de credenciales reutilizadas constituye, a efectos prácticos, una incidencia seria de seguridad de datos. Esto abre la puerta a posibles investigaciones por parte de las autoridades y, en su caso, a acciones sancionadoras si se detectan deficiencias en las medidas de protección.
Para las personas usuarias, el riesgo más inmediato no suele ser que alguien haga compras directas con su cuenta en la tienda, sino el posible uso de la información robada para la suplantación de identidad. Con datos como nombre completo, DNI, dirección, teléfono, historial de compras y conversaciones con soporte, resulta más fácil montar campañas de phishing muy verosímiles, llamadas fraudulentas o engaños dirigidos específicamente a esas víctimas.
Este escenario recuerda a otros incidentes recientes en España y Europa, donde filtraciones de datos de clientes de grandes compañías fueron seguidas de oleadas de llamadas y correos falsos que se apoyaban en detalles reales del cliente para ganarse su confianza. Por ejemplo, casos como la brecha de datos de Endesa sirvieron de precedente para estas campañas.
Este escenario recuerda a otros incidentes recientes en España y Europa, donde filtraciones de datos de clientes de grandes compañías fueron seguidas de oleadas de llamadas y correos falsos que se apoyaban en detalles reales del cliente para ganarse su confianza. Por eso, la recomendación general es extremar las precauciones durante las próximas semanas ante cualquier comunicación que haga referencia a pedidos, incidencias o datos personales.
Qué pueden hacer los clientes para protegerse tras el ataque de relleno de credenciales
En paralelo a las acciones de la empresa, es importante que los propios usuarios tomen ciertas medidas de autoprotección para minimizar el impacto de este tipo de ataques, especialmente si han reutilizado sus contraseñas en distintos servicios online.
El primer paso recomendado por los expertos es cambiar la contraseña de PcComponentes por una nueva que sea robusta y única, es decir, que no se utilice en ningún otro sitio web. Lo ideal es combinar letras mayúsculas y minúsculas, números y símbolos, evitando patrones fáciles de adivinar como fechas de nacimiento o nombres propios.
Si esa misma clave se ha usado en otras plataformas, conviene actualizar también las contraseñas en esos servicios, ya que un atacante que disponga de una combinación email/contraseña funcional intentará aprovecharla en tantas webs como sea posible. Un gestor de contraseñas puede ayudar a generar y almacenar claves complejas sin necesidad de memorizarlas todas.
También es fundamental mantener activadas las opciones de autenticación en dos pasos siempre que estén disponibles, no solo en PcComponentes, sino en cuentas de correo, redes sociales, servicios bancarios y otros comercios electrónicos. Este sistema añade una capa extra de seguridad que dificulta el acceso a las cuentas incluso si alguien consigue la contraseña.
Por último, se recomienda prestar especial atención a los intentos de phishing o suplantación. Desconfiar de webs falsas y mensajes que pidan datos personales o bancarios, comprobar cuidadosamente las direcciones de correo y las URLs antes de hacer clic, y evitar acceder a la cuenta desde enlaces recibidos por email o SMS son pasos básicos para reducir el riesgo de caer en un engaño vinculado a este incidente.
En conjunto, el caso de PcComponentes vuelve a poner sobre la mesa la importancia de no reutilizar contraseñas entre distintos servicios, activar medidas de autenticación adicionales y mantenerse alerta ante comunicaciones sospechosas. Mientras la empresa defiende que no ha habido una brecha directa de sus sistemas y el supuesto atacante presume de disponer de una base de datos masiva, los usuarios se sitúan en el centro de la situación y tienen en su mano aplicar buenas prácticas para blindar, en la medida de lo posible, su seguridad digital.
