Tres grandes empresas europeas han sido víctimas de brechas de seguridad en las últimas semanas. Millones de usuarios afectados ven comprometidos sus datos personales, financieros y de acceso.

Inditex: datos de clientes de Zara y Pull&Bear filtrados

El grupo textil Inditex confirmó en marzo de 2026 que un atacante logró acceder a su plataforma de comercio electrónico mediante una vulnerabilidad en su sistema de autenticación. La brecha afectó a más de 4,5 millones de clientes en Europa y América Latina, exponiendo nombres, correos electrónicos, direcciones de envío e historial de compras.

Según los investigadores, el grupo detrás del ataque utilizó una técnica de credential stuffing, aprovechando contraseñas filtradas de otras plataformas para acceder a cuentas activas. Inditex tardó más de 72 horas en detectar la intrusión y notificar a los usuarios, lo que prolongó la ventana de exposición.

Booking.com: reservas y tarjetas bancarias en riesgo

La popular plataforma de reservas de alojamiento sufrió un ataque de ingeniería social dirigido a su red de hoteles asociados. Los ciberdelincuentes suplantaron la identidad de soporte técnico de Booking para engañar a empleados de establecimientos y obtener credenciales de acceso al panel de gestión.

Una vez dentro, los atacantes redirigieron las comunicaciones con huéspedes para solicitar pagos fraudulentos. Se estima que más de 900.000 usuarios recibieron mensajes falsos con enlaces a páginas de pago clonadas. Algunos llegaron a introducir datos de tarjeta bancaria en esas páginas antes de que Booking bloqueara las cuentas comprometidas.

Basic-Fit: contraseñas y datos de salud expuestos

La cadena de gimnasios Basic-Fit reportó un acceso no autorizado a su base de datos de miembros. La brecha expuso información especialmente sensible: nombre completo, fecha de nacimiento, número de teléfono, dirección y, en algunos casos, datos sobre condiciones médicas declaradas al contratar ciertos planes.

La investigación apunta a un fallo en una API interna que no requería autenticación para devolver registros de usuarios. El error estuvo activo durante varios meses antes de ser descubierto por un investigador de seguridad externo que lo reportó de forma responsable.

¿Qué debes hacer si eres usuario de alguna de estas plataformas?

• Cambia tu contraseña inmediatamente y no reutilices la misma en otros servicios.
• Activa la verificación en dos pasos (2FA) en todas las cuentas que lo permitan.
• Revisa los movimientos de tu tarjeta bancaria y reporta cualquier cargo sospechoso.
• Desconfía de correos o mensajes que soliciten datos o pagos urgentes, aunque parezcan legítimos.
• Usa un gestor de contraseñas para mantener credenciales únicas y seguras en cada servicio.

Estos incidentes refuerzan la necesidad de que tanto empresas como usuarios adopten medidas de ciberseguridad proactivas. La pregunta ya no es si ocurrirá un ataque, sino cuándo. Estar preparado marca la diferencia.