El grupo de ciberextorsión ShinyHunters ha filtrado 140 GB de datos de clientes de Zara, exponiendo cerca de 197.000 direcciones de correo electrónico, historiales de compra, tickets de soporte e identificadores de pedidos. La intrusión se produjo al comprometer tokens de autenticación de la plataforma de análisis big data Anodot, un proveedor tecnológico utilizado por Inditex y decenas de multinacionales. No se han visto afectadas contraseñas ni datos bancarios, pero el volumen de la información expuesta y la campaña de extorsión ‘pay or leak’ han encendido las alarmas en la comunidad de inteligencia.
Inditex confirmó el acceso no autorizado a bases de datos alojadas en un proveedor externo y aseguró que sus sistemas operativos no fueron vulnerados. La compañía notificó a las autoridades de protección de datos y a los clientes afectados, al tiempo que ShinyHunters publicaba el botín en su sitio de filtraciones en Tor. El grupo reclamó el ataque y culpó a Anodot de la brecha.
El vector Anodot: un token robado y 140 GB de datos al descubierto
El ataque explotó tokens de autenticación legítimos —obtenidos a partir de credenciales comprometidas de la propia plataforma de análisis— para acceder a instancias de BigQuery. Una vez dentro, los atacantes copiaron durante semanas la información almacenada: registros de compras con SKU de producto, mercados de origen, fechas exactas y tickets de soporte con detalles sobre intercambios y devoluciones. El acceso a BigQuery les permitió además escanear entornos SaaS conectados mediante movimientos laterales: la misma técnica que ShinyHunters ha descrito en ataques a Google, Cisco o Rockstar Games.
Es un patrón bien conocido por el CCN-CERT. La cadena de suministro se ha convertido en el vector preferido de los actores de amenaza, tanto criminales como estatales. Un solo proveedor tecnológico con acceso a decenas de grandes cuentas se convierte en un multiplicador de daño. En este caso, los tokens robados abrieron la puerta a 140 GB de inteligencia de negocio y hábitos de consumo, el tipo de información que los servicios de inteligencia ansían para construir perfiles psicosociales de alto valor.
La campaña ‘pay or leak’ y el ‘modus operandi’ de ShinyHunters
ShinyHunters lleva años practicando la extorsión doble: primero extraen los datos, luego exigen un rescate y si no hay acuerdo, los publican o los venden. El grupo ha reclamado ataques a la Comisión Europea, Cisco, Vimeo y decenas de empresas tecnológicas. Sus campañas de vishing contra empleados con acceso SSO a Microsoft Entra, Okta o Google demuestran que dedican más esfuerzo a la fase de reconocimiento y movimiento lateral que al propio robo de datos. En el caso de Zara, la entrada fue a través de Anodot, pero la persistencia les permitió mapear infraestructura en la nube.
Me consta que ShinyHunters no es una APT estatal, pero sus TTP se parecen peligrosamente a las de cualquier grupo auspiciado por un servicio de inteligencia. La diferencia está en la motivación —dinero frente a geopolítica—, pero la técnica es fungible. Lo he escrito en El quinto elemento: el próximo 11S empezará con un clic y la cadena de suministro será la mecha.
Algo que quizás no se ha dicho aún es que los datos filtrados, aunque no contengan nombres, permiten una correlación precisa si se cruzan con otras fuentes abiertas. Un correo electrónico y un historial de compras con fechas y mercados son suficientes para identificar a un objetivo y trazar sus movimientos. En manos de un servicio de inteligencia hostil, esa información se convierte en HUMINT de bajo coste: qué hace, dónde compra, qué devuelve, con qué frecuencia viaja. Lo veo todos los días en los informes de análisis del Real Instituto Elcano.
Cosas que pasan en 2026.
La extorsión de datos es la antesala: si los mismos tokens abren BigQuery para un grupo criminal, ¿cuánto tardará un servicio de inteligencia en usarlos para plantar una backdoor persistente?
Dossier Moncloa: Ojos en la Sombra
El incidente de Zara es, a primera vista, un ciberataque comercial más. Pero en la doctrina de contrainteligencia, cualquier brecha masiva en una multinacional con presencia en más de 90 países es un vector de amenaza que el CNI monitoriza por defecto. Las agencias implicadas aquí son múltiples: el grupo criminal ShinyHunters como atacante, el CCN-CERT y la AEPD como defensores reactivos, y los servicios de inteligencia de medio mundo como observadores silenciosos.
El vector de amenaza es doble: por un lado, la exposición directa de datos de clientes —una fuga de privacidad regulada por el RGPD—, y por otro, la explotación de la confianza en la cadena de suministro, que abre una brecha de seguridad en los sistemas big data de Inditex. Un atacante paciente y con motivación estatal podría haber instalado persistencia y extraer durante años inteligencia de negocio, patrones de logística y, sí, perfiles de consumo que interesan a cualquier servicio de HUMINT que quiera reconstruir las redes sociales de sus objetivos.
Históricamente, precedentes como SolarWinds (atribuido al SVR) demostraron que un proveedor de software se convierte en el punto de entrada a cientos de objetivos de alto valor. ShinyHunters no es el GRU, pero las mismas técnicas —robo de tokens, movimientos laterales, exfiltración de BigQuery alojadas en entornos SaaS— han sido documentadas en grupos APT como APT29 y Sandworm. No hay atribución estatal en este caso, pero la lectura confidencial que manejo es que el incidente sirve de ensayo general para futuras operaciones más sucias.
El nivel de clasificación estimado de la información expuesta es, en su mayor parte, “Sin Clasificar pero Sensible”. Aunque no haya secretos de Estado, la combinación de correos electrónicos completos, SKU de producto y ubicación geográfica debería recibir el mismo tratamiento de protección que un documento reservado. El próximo paso que espero es una recomendación formal del CCN-CERT sobre la necesidad de blindar las integraciones de terceros con una segmentación de red estricta y autenticación multifactor resistente a phishing.
En fin, dejen que cierre con una reflexión abierta: si mañana un grupo patrocinado por un Estado utiliza los mismos tokens de Anodot —u otro proveedor con los mismos privilegios— para sabotear la logística de una empresa del IBEX, el daño no será reputacional; será material, y entonces ya no hablaremos de 197.000 correos, sino de una cadena de suministro rota en todo un continente.
