- Un actor llamado daghetiaw asegura haber obtenido datos de hasta 16,3 millones de clientes de PcComponentes, incluyendo información identificativa y de contacto muy sensible.
- La compañía niega una intrusión en sus bases de datos y habla de un ataque de credential stuffing que habría afectado solo a una parte de los usuarios.
- Los datos potencialmente expuestos abarcan nombre, apellidos, DNI, dirección, teléfono, correo electrónico, IP, historial de pedidos y tickets de soporte, pero PcComponentes insiste en que no se han visto comprometidos datos bancarios ni contraseñas.
- Se han activado medidas adicionales de seguridad como CAPTCHA y autenticación en dos pasos, y se recomienda a los clientes cambiar contraseñas y extremar la vigilancia ante intentos de phishing y suplantación de identidad.
En las últimas horas, el ecosistema tecnológico español se ha sacudido con la noticia de una presunta filtración masiva de datos en PcComponentes, uno de los comercios online de referencia en España para la compra de tecnología y componentes de PC. Un ciberatacante afirma haber puesto a la venta una base de datos con información de más de 16 millones de cuentas de usuario, un volumen de datos sin precedentes para un ecommerce nacional.
Mientras en foros especializados y redes sociales se multiplican las capturas del anuncio del supuesto atacante, PcComponentes ha salido al paso con un comunicado oficial en el que niega una intrusión directa en sus sistemas, pero reconoce accesos no autorizados a cuentas de algunos clientes. Entre las afirmaciones del hacker, las investigaciones de empresas de ciberseguridad y la versión de la propia tienda, el escenario que se dibuja es complejo y genera una gran preocupación por el posible uso fraudulento de los datos personales expuestos.
El origen del caso: un hacker y 16,3 millones de cuentas en entredicho
El incidente salta a la luz cuando la firma de ciberseguridad Hackmanac, con experiencia previa destapando filtraciones en compañías como Endesa o ING, publica una alerta en X (antes Twitter) sobre un actor de amenazas que firma como «daghetiaw». Este ciberdelincuente asegura haber accedido a los sistemas de PcComponentes y obtenido datos de 16,3 millones de perfiles de cliente, que ahora se estarían ofreciendo en foros de la Dark Web.
Según la descripción difundida por Hackmanac y otros medios especializados, el archivo incluiría información de carácter muy sensible: nombre y apellidos, NIF/DNI, direcciones físicas completas, teléfonos, correos electrónicos, dirección IP, historial de pedidos y facturas, así como tickets de Zendesk con conversaciones de soporte. El atacante también habla de metadatos relacionados con tarjetas bancarias, como el tipo de tarjeta o la fecha de caducidad, sin detallar números completos de las mismas.
Para reforzar la credibilidad de su anuncio, el supuesto hacker ha publicado una “muestra gratuita” de alrededor de 500.000 registros, es decir, un subconjunto de la base de datos que podría permitir a potenciales compradores comprobar la veracidad del robo antes de pagar por el lote completo. El objetivo final pasaría, según se apunta, por vender la información al mejor postor o incluso presionar a la propia PcComponentes.
Lo que realmente dispara las alarmas es que, en esta muestra de datos, aparecen combinados identificadores oficiales como el DNI con direcciones postales, teléfonos, correos y registros de compras. Con esa combinación de datos, la capacidad de orquestar fraudes muy sofisticados —desde suplantaciones de identidad hasta estafas financieras— se multiplica.
La cifra de 16,3 millones de cuentas también ha llamado la atención por su magnitud: medios especializados han recordado que existían indicios de que en agosto de 2023 PcComponentes ya gestionaba cerca de 12 millones de usuarios registrados, una evolución que hace verosímil que hoy se pueda hablar de volúmenes superiores a los 16 millones, aunque la compañía rebaja radicalmente ese número en su versión.
Datos expuestos: qué incluiría la base de datos filtrada
De acuerdo con la información publicada en los foros de compraventa de datos y los análisis preliminares realizados por distintas fuentes, la supuesta filtración en PcComponentes afectaría a múltiples categorías de datos personales y operativos. No se trataría solo de correos electrónicos sueltos, sino de perfiles de cliente muy completos.
En la lista de campos que se habrían visto comprometidos figuran, entre otros, los siguientes elementos: nombre y apellidos; NIF, DNI o NIE; dirección postal completa y código postal; datos de contacto como teléfono y correo electrónico asociado a la cuenta; historial de pedidos, facturas y documentación vinculada; así como información logística de los envíos y datos de seguimiento.
El supuesto archivo robado incluiría también tickets y conversaciones de soporte gestionados a través de Zendesk. Estos historiales, que en muchos casos recogen incidencias, reclamaciones o detalles adicionales de los clientes, pueden convertirse en material muy útil para articular campañas de phishing extremadamente creíbles, al hacer referencia a compras reales, números de pedido o incidencias pasadas.
En el apartado económico, el actor que reclama la autoría del ataque indica que dispone de “metadatos” de tarjetas de crédito, como el tipo de tarjeta utilizada y su fecha de caducidad, sin aclarar si hay números completos o códigos de seguridad asociados. Aquí, la versión del atacante choca de lleno con la posición oficial de la empresa, que insiste en que no guarda datos bancarios de los clientes, más allá de tokens técnicos que no permiten realizar cargos.
Por último, se mencionan direcciones IP, preferencias de usuario y posibles métricas internas, como listas de deseos o estadísticas del perfil. Aunque estos campos parezcan menos críticos a simple vista, su combinación con el resto de la información refuerza el nivel de detalle del “perfil digital” de cada afectado.
Una historia de vulnerabilidades previas y advertencias ignoradas
La polémica actual no surge en el vacío. En los últimos días han vuelto a salir a la luz episodios anteriores relacionados con la seguridad de PcComponentes, algunos de ellos ya conocidos en círculos de ciberseguridad y ahora puestos en contexto a raíz de la posible filtración masiva.
Un experto en seguridad identificado en X como 0xBogart asegura haber tenido acceso durante años a una base de datos de PcComponentes que se habría mantenido expuesta de forma prolongada. Según su testimonio, llegó a manejar una copia con datos de agosto de 2023 en la que figuraban cerca de 11,95 millones de usuarios, con información personal como nombre, apellidos, DNI, dirección, teléfono o IP.
Este especialista relata que el acceso se habría prolongado aproximadamente cinco años dentro de los servidores de la compañía, y que lo perdió en el momento en que PcComponentes migró su infraestructura a Amazon Web Services. Aun así, sostiene que durante ese periodo la base de datos estuvo accesible para cualquiera que encontrara las credenciales expuestas.
Más recientemente, el propio 0xBogart afirma haber reportado a la empresa un fallo de seguridad adicional que dejaba al descubierto credenciales para acceder a bases de datos internas. Ese aviso se habría producido a principios de 2025, cuando supuestamente todavía existían vectores de ataque relevantes en los sistemas de la tienda.
Todo este contexto alimenta la sospecha de que, incluso si el incidente actual no fuese exactamente el que describe el atacante daghetiaw, PcComponentes habría acumulado debilidades estructurales en materia de protección de datos. Desde una perspectiva regulatoria, se espera que una compañía de este tamaño mantenga estándares muy elevados de seguridad y responda con rapidez ante cualquier brecha, notificando a la Agencia Española de Protección de Datos (AEPD) en un plazo máximo de 72 horas desde que tiene constancia de un incidente grave.
La versión de PcComponentes: ni hackeo masivo ni robo de datos bancarios
Ante la cascada de titulares sobre la supuesta filtración de 16 millones de cuentas, PcComponentes ha difundido un comunicado oficial para tratar de aclarar su postura y rebajar la alarma. En esa nota, la empresa niega categóricamente haber sufrido un acceso ilegítimo a sus bases de datos o sistemas internos, y pone en duda el volumen de usuarios potencialmente afectados.
Según la compañía, la cifra de 16 millones de clientes expuestos sería falsa, entre otras cosas porque el número de cuentas activas que gestionan en la actualidad sería “marcadamente inferior”. Defiende además que el acceso no autorizado a cuentas de clientes no habría sido masivo, sino que afectaría solo a “algunos” usuarios concretos.
PcComponentes también hace hincapié en que los datos bancarios no se han visto comprometidos. Afirma no almacenar números de tarjetas ni códigos de seguridad, sino únicamente un token de pago que sirve para identificar operaciones dentro del sistema de cobros, pero que no permite realizar cargos por sí solo ni se puede reutilizar fuera de esa infraestructura.
En relación con las contraseñas, la tienda recalca que no guarda claves en texto plano. En su lugar, explica que se utilizan algoritmos de cifrado que convierten las contraseñas en un hash irreversible, lo que impediría tanto a empleados como a atacantes conocer la clave original a partir de la base de datos interna, al menos en teoría.
Con todo, el mismo comunicado admite que, en los casos confirmados de accesos no autorizados, se habrían visto expuestos datos como nombre, apellidos, DNI (si el cliente lo había facilitado), dirección postal, correo electrónico, teléfono e IP. Es decir, gran parte de la información que el actor daghetiaw asegura haber obtenido, aunque sin reconocer en ningún momento la magnitud de 16,3 millones de registros.
Credential stuffing: el ataque que señala la empresa
El núcleo de la explicación de PcComponentes se apoya en un término cada vez más frecuente en incidentes de este tipo: credential stuffing. La firma sostiene que lo sucedido no ha sido un hackeo directo a sus servidores, sino un ataque automatizado que aprovecha credenciales filtradas en otros servicios para intentar entrar en cuentas de usuarios que reutilizan sus contraseñas.
Este tipo de ataque funciona de la siguiente manera: un tercero consigue una base de datos robada de otra plataforma —por ejemplo, un servicio online atacado hace años—, en la que se mezclan correos electrónicos y contraseñas. A partir de ahí, mediante bots o scripts ejecuta miles de intentos de inicio de sesión en diferentes webs, probando esas mismas combinaciones de usuario y clave en todos los sitios posibles, desde tiendas online hasta servicios de streaming.
Cuando un usuario ha utilizado la misma contraseña en varias plataformas, el atacante puede entrar en su cuenta sin necesidad de vulnerar directamente los sistemas de la empresa objetivo. Una vez dentro, le resulta relativamente sencillo consultar datos personales, revisar el historial de pedidos, cambiar información de la cuenta o incluso descargar facturas y documentación asociada.
PcComponentes sostiene que eso es exactamente lo que ha ocurrido: alguien habría aprovechado credenciales filtradas anteriormente en otros servicios para intentar acceder de forma masiva a cuentas de su plataforma. En los casos en que las contraseñas se han reutilizado, el atacante habría tenido éxito y habría podido copiar datos personales de algunos clientes.
En este marco, la compañía recalca que el incidente no se considera, desde su punto de vista, una brecha de seguridad en sus propios sistemas, sino una consecuencia del uso reiterado de la misma contraseña en servicios distintos. Esta interpretación, no obstante, no elimina el hecho de que datos personales hayan acabado en manos de terceros, lo que en la práctica sí constituye una exposición de información que preocupa tanto a usuarios como a expertos.
Medidas de emergencia: CAPTCHA, 2FA y cierre de sesiones
Más allá del debate sobre si se ha producido o no un hackeo directo, PcComponentes ha optado por endurecer de forma visible las medidas de seguridad de acceso a su web. Desde el momento en que se ha tenido constancia del problema, la compañía ha introducido cambios para intentar frenar de raíz tanto el credential stuffing como futuros intentos similares.
Entre las medidas aplicadas destaca la incorporación de un CAPTCHA obligatorio en el inicio de sesión, con el fin de distinguir entre accesos legítimos y procesos automatizados creados por bots. Este filtro extra añade un pequeño paso a la hora de entrar en la cuenta, pero complica de forma notable los ataques masivos basados en scripts.
Además, se ha activado de manera generalizada un sistema de autenticación en dos pasos (2FA) por correo electrónico. A partir de ahora, para iniciar sesión no bastará con introducir usuario y contraseña, sino que será necesario confirmar el acceso mediante un código adicional enviado al email asociado a la cuenta. Esta capa de seguridad reduce mucho la eficacia de cualquier ataque basado solo en conocer la contraseña.
PcComponentes también ha optado por invalidar las sesiones activas, lo que obliga a todos los clientes a volver a iniciar sesión bajo las nuevas condiciones. De este modo, se fuerza una especie de “reinicio” de accesos, dificultando que sesiones abiertas de forma ilícita puedan seguir explotándose sin control.
En paralelo, la empresa ha indicado que contactará directamente con los usuarios afectados para informarles de lo sucedido y recomendarles cambios de contraseña, no solo en PcComponentes sino también en aquellos otros servicios donde pudieran estar usando las mismas credenciales.
Riesgos reales: phishing, suplantación de identidad y fraude
Más allá de las cifras y las versiones enfrentadas, el punto que más preocupa a los especialistas es el posible uso criminal de los datos que ya habrían salido del control de la empresa. Aunque PcComponentes insiste en que ni contraseñas ni números de tarjeta están comprometidos, la combinación de nombre completo, DNI, dirección, teléfono, correo e historial de pedidos es lo bastante rica como para dar juego a múltiples tipos de ataques.
Uno de los riesgos más probables es el phishing altamente personalizado. Con datos de compras reales, direcciones y números de pedido, es muy fácil que un ciberdelincuente elabore correos o SMS que parezcan comunicaciones legítimas de PcComponentes, compañías de mensajería o incluso entidades financieras vinculadas a un pago. Mensajes que pidan confirmar un envío, actualizar datos de facturación o introducir un código pueden resultar mucho más convincentes cuando incluyen detalles reales del usuario.
También se abre la puerta a casos de suplantación de identidad. Disponer de DNI, dirección completa, teléfono y otros datos personales permite construir perfiles extremadamente precisos para intentar contratar servicios, abrir cuentas o solicitar créditos de forma fraudulenta. Aunque las entidades financieras aplican cada vez más controles, la combinación de estos elementos sigue siendo muy valiosa en el mercado negro.
Otro vector de riesgo se relaciona con el uso de datos en ataques en cadena: incluso si las contraseñas no se han filtrado en este incidente concreto, la mera confirmación de que una dirección de correo está vinculada a PcComponentes puede animar a probar campañas dirigidas a ese segmento de usuarios, cruzando información con otras brechas anteriores.
En el plano emocional, muchos clientes expresan su cansancio y frustración ante la proliferación de brechas de datos. La sensación de tener que recurrir a tarjetas virtuales desechables, teléfonos secundarios o identidades mínimamente expuestas para comprar por internet refleja un clima de desconfianza creciente, en el que cada nuevo incidente refuerza la percepción de que los usuarios son el eslabón más débil en la cadena.
Qué pueden hacer ahora los clientes de PcComponentes
Mientras se clarifica por completo el alcance real del incidente, las recomendaciones para los clientes de PcComponentes pasan por adoptar medidas de autoprotección básicas pero muy efectivas, pensando tanto en esta tienda como en el resto de servicios online que utilizan a diario.
El primer paso lógico es cambiar la contraseña de la cuenta de PcComponentes y, sobre todo, evitar seguir utilizando esa misma clave en otras plataformas. El uso de gestores de contraseñas y claves únicas y robustas para cada servicio es una de las mejores barreras contra ataques de credential stuffing como el descrito.
También conviene activar la autenticación en dos pasos en todos los servicios que lo permitan, no solo en esta tienda. Un código adicional enviado por SMS, email o a una aplicación de autenticación puede frenar el acceso incluso en aquellos casos en que la contraseña ya haya sido filtrada.
En el terreno financiero, aunque PcComponentes asegura que no almacena números de tarjeta completos, nunca está de más revisar los movimientos recientes en las cuentas y activar alertas de operación para detectar posibles cargos no autorizados. En caso de duda, los bancos suelen permitir bloquear o reemplazar las tarjetas con relativa rapidez.
Por último, es importante extremar la prudencia ante cualquier mensaje que parezca proceder de PcComponentes, empresas de mensajería o bancos. Lo sensato es desconfiar de enlaces acortados, solicitudes de códigos, peticiones de datos de pago o de acceso, y en caso de duda acudir directamente a la web oficial tecleando la dirección en el navegador, sin seguir enlaces recibidos por correo o SMS.
El caso de PcComponentes se suma a una tendencia preocupante de incidentes de ciberseguridad en grandes compañías españolas y europeas, con millones de ciudadanos expuestos en cuestión de horas. Más allá de quién tenga razón en las cifras concretas o en la calificación técnica del ataque, el episodio vuelve a poner sobre la mesa la fragilidad de los datos personales una vez quedan en manos de terceros. La respuesta que den tanto las empresas como las autoridades de protección de datos, y el grado de transparencia y rapidez al informar a los afectados, serán claves para recuperar parte de la confianza perdida y marcar el listón de lo que se espera de cualquier actor relevante del comercio electrónico en nuestro entorno.
