Durante la mañana de hoy, te contábamos que un hacker aseguraba haber robado datos de los clientes de una de las tiendas online líderes en España. Ahora, la compañía ha desmentido la noticia, asegurando que no se ha producido un acceso ilegítimo a sus bases de datos y aclarando lo sucedido.
Durante la tarde de ayer, un hacker aseguraba haber accedido a la base de datos de PcComponentes, una de las tiendas online más conocidas de nuestro país, y tener en su propiedad los datos de algo más de 16 millones de clientes. En total, los datos robados sumaban alrededor de 1 TB de información. De confirmarse, se trataría de uno de los robos más importantes de los últimos años.
Sin embargo, PcComponentes ha emitido un comunicado hace unos pocos minutos en el que desmiente categóricamente la información filtrada por dicho hacker. Y, al mismo tiempo, explica de dónde salen los datos y qué ha sido lo que ha ocurrido realmente.
— PcComponentes (@pccomponentes) January 21, 2026
PcComponentes niega una brecha de seguridad
En el comunicado, la tienda online confirma haber hecho una investigación a través de sus expertos de seguridad y confirma que no existe constancia de que haya sufrido una brecha de seguridad en sus sistemas que haya sido aprovechada por ninguna banda de ciberdelincuentes para acceder a todos los datos sensibles.
Tras haber realizado las comprobaciones oportunas, sí que se ha detectado que un tercero ha utilizado las credenciales obtenidas a partir de filtraciones de seguridad en otras bases de datos, ajenas a PcComponentes, y ha intentado acceder de forma automática y masiva a otras plataformas. Entre ellas, la tienda online que hoy ocupa esta noticia.
Este ha sido el motivo por el que «únicamente algunos clientes se han visto afectados«. No obstante, se descarta por completo un acceso a los datos de más de 16 millones de clientes, puesto que el número de cuentas que tiene la tienda online es bastante inferior a este número, negando en todo momento que se trate de una acción masiva.
Los datos bancarios no se han visto afectados
Los datos bancarios, una de las grandes preocupaciones de todos sus clientes, están a salvo, puesto que PcComponentes no los almacena. La única información que conserva la compañía es un código de seguridad, conocido como token, que se utiliza para identificar el pago. Sin embargo, a través de este código no se puede acceder a la numeración de la tarjeta o realizar cargos en la misma, confirmando que cualquier dato financiero está a salvo.
En cuanto a las contraseñas, también están a salvo, puesto que no se almacenan en la base de datos, sino que se guardan como un código secreto y cifrado al que nadie puede acceder, únicamente el propio usuario.
Los datos a los que han podido acceder en las cuentas afectadas son los siguientes: nombre, apellidos, DNI, dirección, IP, correo electrónico y teléfono.
| Tipo de Dato | Estado de Seguridad | Explicación de la Compañía |
|---|---|---|
| Datos Bancarios (Tarjeta) | Seguros | No se almacenan. Solo se guarda un 'token' de pago no utilizable para realizar cargos. |
| Contraseñas | Seguras | No se guardan en texto plano, sino como un código cifrado (hash) inaccesible. |
| Datos Personales (Nombre, DNI, dirección, etc.) | Potencialmente Expuestos | Solo en las cuentas a las que se accedió mediante 'credential stuffing' (usando contraseñas de otras webs). |
PcComponentes ya ha introducido medidas extra de seguridad
Con el objetivo de protegerse de futuros ataques similares, la compañía trabaja diariamente en desarrollar nuevos controles de seguridad. Además, ha incluido una serie de medidas extra:
- Ha implantado un sistema CAPTCHA cuando el usuario inicia sesión. De este modo, se bloquearán todos los intentos de acceso automatizados.
- Se ha activado de forma obligatoria un segundo factor de autenticación que obligará al usuario a introducir un código que recibirá en su correo electrónico.
- Se han cerrado todas las sesiones activas para forzar a tener que iniciar sesión de nuevo con las medidas de seguridad ya mencionadas.
Por último, PcComponentes ha invitado a todos sus usuarios a que refuercen su seguridad, recomendando utilizar contraseñas únicas para cada servicio. De este modo, se reducen los riesgos del credential stuffing, como se conoce a esta técnica, que se aprovecha de aquellos usuarios que tienen la misma contraseña en todas sus cuentas online. Además, también ha recalcado la importancia de utilizar contraseñas con letras, números y símbolos para dificultar su uso no autorizado.
La compañía ha explicado que va a realizar comunicaciones personalizadas a todos los usuarios que pueden haberse visto afectados. Por lo que, si eras cliente de la compañía, te recomendamos que estés pendiente de las futuras comunicaciones de la firma.
Fuente: adslzone
