- PcComponentes rechaza haber sufrido una brecha masiva de seguridad y cuestiona la cifra de 16 millones de cuentas afectadas
- La compañía atribuye el incidente a ataques de credential stuffing con credenciales filtradas en servicios ajenos
- No se han visto comprometidos datos bancarios ni contraseñas, pero sí datos personales básicos de algunas cuentas
- Se han activado medidas extra de seguridad como CAPTCHA, 2FA obligatorio y cierre de sesiones, junto a recomendaciones a los usuarios
En las últimas horas, el nombre de PcComponentes ha circulado con fuerza por redes sociales y foros especializados tras la aparición de un supuesto robo masivo de datos de clientes que habría dejado al descubierto información de más de 16 millones de usuarios. El caso se ha movido especialmente en España, donde la tienda es uno de los comercios online de referencia para comprar tecnología.
El aviso partió de la comunidad de ciberseguridad, donde se habló de una filtración publicada en la dark web y atribuida a un hacker que aseguraba tener acceso a un volumen de datos cercano a 1 TB de información. Sin embargo, tras una investigación interna, la empresa ha emitido un comunicado en el que niega tajantemente haber sufrido un hackeo en sus sistemas y ofrece una explicación alternativa de lo sucedido.
Del supuesto robo masivo a la versión oficial de PcComponentes
Según el relato que se difundió inicialmente, un ciberatacante que opera bajo el alias ‘daghetiaw’ habría logrado infiltrarse en los sistemas de PcComponentes y extraer datos de hasta 16,3 millones de cuentas de cliente. Entre la información presuntamente robada se mencionaban DNI o NIF, pedidos, facturas, direcciones postales, datos de contacto, metadatos de tarjetas de crédito, direcciones IP y tickets de soporte.
Para dar credibilidad a la filtración, el atacante llegó a publicar una muestra gratuita con datos de unos 500.000 usuarios en foros frecuentados por ciberdelincuentes, mientras el resto de la base de datos se habría puesto a la venta. Esta maniobra es habitual cuando se busca demostrar que el material ofrecido es real y así aumentar el interés de posibles compradores.
La alerta fue amplificada por perfiles especializados como Hackmanac, que advirtieron de la presencia de los datos de PcComponentes en la dark web y situaron este incidente al nivel de otras filtraciones recientes que han afectado a grandes empresas en España y Europa. En un contexto de crecientes ataques a compañías energéticas, aerolíneas o grandes comercios, la posibilidad de un robo de esta magnitud encendió todas las alarmas.
A raíz de esa primera oleada de información, varios medios españoles de tecnología y videojuegos, así como portales generalistas, se pusieron en contacto con la empresa murciana para contrastar los hechos. Horas más tarde llegó la respuesta oficial: PcComponentes afirma que, tras revisar sus sistemas con sus equipos de ciberseguridad, no hay indicios de una brecha interna ni de acceso masivo a su base de datos.
PcComponentes niega el hackeo y habla de credential stuffing
En su comunicado, la compañía deja claro que no se ha producido ningún acceso ilegítimo a sus bases de datos ni a sus sistemas internos. De hecho, subraya que la cifra de 16 millones de clientes afectados es incorrecta, porque el número de cuentas activas en la plataforma es sensiblemente menor a ese volumen.
Lo que sí reconoce PcComponentes es haber detectado un elevado número de intentos de acceso mediante credential stuffing. Este término hace referencia a una técnica en la que los atacantes aprovechan credenciales filtradas en otros servicios (plataformas ajenas a PcComponentes) para probarlas de forma automatizada en múltiples webs y aplicaciones.
Según explica la empresa, un tercero habría utilizado direcciones de correo y contraseñas obtenidas en filtraciones previas, publicadas en bases de datos comprometidas que circulan por internet. Con ayuda de bots o scripts, esas combinaciones se probarían en servicios como tiendas online, plataformas de streaming u otros portales, con la esperanza de que algunos usuarios reutilicen la misma contraseña en distintos sitios.
En el caso concreto de PcComponentes, esta actividad automatizada habría permitido acceder a un número limitado de cuentas pertenecientes a personas que tenían credenciales idénticas en servicios previamente atacados. La compañía insiste en que esto no implica que sus sistemas hayan sido vulnerados desde dentro, sino que se trata de un abuso de credenciales robadas en otros entornos.
De esta forma, PcComponentes sostiene que no ha habido un hackeo masivo a su infraestructura, sino una campaña de credential stuffing que ha acabado afectando solo a una parte reducida de usuarios. Para ellos, el impacto es real, pero está acotado y no se corresponde con la magnitud que se difundió inicialmente.
Qué datos se habrían visto expuestos en las cuentas afectadas
Una de las principales preocupaciones entre los clientes gira en torno a la naturaleza de la información comprometida. En este punto, PcComponentes es tajante: ni los datos bancarios ni las contraseñas se han visto comprometidos, puesto que la empresa no almacena esa información en texto claro.
La compañía explica que no guarda los números de tarjeta ni los datos completos de pago. En su lugar, únicamente conserva un token de seguridad asociado a cada transacción que sirve para identificar el cobro, pero que no permite ver la tarjeta ni realizar cargos adicionales. Ese identificador, recalcan, carece de utilidad fuera del sistema de pagos y no puede ser aprovechado para fraudes.
En cuanto a las contraseñas, PcComponentes remarca que no se almacenan directamente en su base de datos. Lo que se guarda es un hash criptográfico, es decir, un código cifrado irreversible que impide recuperar la clave original. Este estándar es habitual en el sector y busca evitar que, incluso si se produjera un acceso indebido a la base de datos, las contraseñas sigan sin poder leerse.
Dicho esto, sí hay un conjunto de datos personales que habrían podido consultarse en las cuentas donde el credential stuffing tuvo éxito. La empresa enumera como potencialmente expuestos: nombre, apellidos, DNI (si fue facilitado por el cliente), dirección postal, dirección IP, correo electrónico y número de teléfono. Se trata de información sensible que, combinada, puede resultar muy útil para fraudes y engaños.
Esta clase de datos es especialmente valiosa para elaborar ataques de phishing muy personalizados, mensajes que aparentan venir de fuentes legítimas y que se construyen con detalles reales del usuario para ganar credibilidad. También pueden emplearse en posibles casos de suplantación de identidad o ingeniería social, en los que un atacante se hace pasar por la víctima ante terceros.
Medidas de seguridad aplicadas por PcComponentes
Aunque PcComponentes insiste en que el origen del problema está en bases de datos externas, la compañía ha decidido reforzar sus propios controles de seguridad para mitigar el impacto del incidente y evitar que se repita algo similar.
Entre las primeras decisiones, se ha introducido un sistema de CAPTCHA en el inicio de sesión. Este mecanismo obliga al usuario a resolver un pequeño reto (como seleccionar imágenes o marcar una casilla) para demostrar que no se trata de un bot. De esta forma se complica el uso de scripts automatizados que prueban miles de combinaciones de usuario y contraseña.
Además, PcComponentes ha activado de manera obligatoria la autenticación en dos pasos (2FA). Con este sistema, para acceder a una cuenta no basta con conocer la contraseña; también es necesario introducir un código adicional enviado al correo electrónico del usuario u otro canal autorizado. Esto eleva notablemente la barrera para cualquiera que intente entrar con credenciales robadas.
Otra decisión destacada ha sido el cierre de todas las sesiones activas en la web. Esto obliga a que todos los clientes tengan que iniciar sesión de nuevo, ya bajo las nuevas medidas de seguridad. Con ello se pretende cortar de raíz cualquier posible sesión abierta por terceros que se hubiera mantenido activa sin que el usuario se diera cuenta.
Paralelamente, la empresa ha anunciado que enviará comunicaciones personalizadas a los usuarios potencialmente afectados para explicarles la situación y ofrecerles pautas concretas. Este tipo de notificaciones forma parte también de las obligaciones derivadas del Reglamento General de Protección de Datos (RGPD), que exige transparencia cuando hay indicios de incidentes de seguridad que puedan impactar en los ciudadanos europeos.
Recomendaciones para los clientes: cómo proteger tus cuentas
Más allá de las acciones técnicas de la empresa, la situación ha vuelto a poner sobre la mesa un problema clásico: la reutilización de contraseñas en múltiples servicios online. PcComponentes, al igual que otros actores del sector, insiste en que esta práctica resulta extremadamente arriesgada.
La recomendación principal pasa por utilizar contraseñas únicas y robustas en cada plataforma. Esto implica crear claves largas, con una combinación de letras mayúsculas y minúsculas, números y símbolos, y evitar patrones fáciles de adivinar. Para no tener que memorizarlas todas, la opción más cómoda es recurrir a un gestor de contraseñas, que permite almacenarlas de forma cifrada y generar combinaciones seguras.
También se anima a los usuarios a activar siempre que sea posible la autenticación en dos factores en bancos, tiendas online, redes sociales y cualquier otro servicio crítico. Incluso si una contraseña se ve comprometida por una filtración externa, ese segundo paso puede marcar la diferencia entre un intento fallido y un acceso real a la cuenta.
Otra pauta clave tiene que ver con la desconfianza ante correos electrónicos, SMS o mensajes en apps de mensajería que pidan datos personales o financieros. Los ciberdelincuentes suelen aprovechar cualquier filtración para lanzar campañas masivas de phishing, imitando el aspecto de comunicaciones oficiales de la empresa afectada con el fin de que el usuario pulse en enlaces fraudulentos o facilite información sensible.
En este sentido, PcComponentes recuerda que la gestión de pedidos, cambios de contraseña y otras operaciones sensibles debe hacerse preferiblemente accediendo directamente a la web oficial tecleando la dirección en el navegador, y no a través de enlaces que lleguen por sorpresa. Asimismo, conviene revisar con regularidad los movimientos bancarios y estar atento a cualquier cargo extraño, aunque en este caso la compañía subraya que no almacena datos completos de tarjetas.
Un incidente dentro del contexto europeo de ciberataques
El caso PcComponentes se enmarca en un contexto en el que, tanto en España como en el resto de Europa, se han multiplicado los incidentes de ciberseguridad con grandes volúmenes de datos implicados. En los últimos meses se han conocido ataques y filtraciones que afectan a millones de clientes de sectores como la energía, el transporte aéreo o el comercio electrónico.
Este tipo de sucesos deja tras de sí enormes bases de datos con credenciales reutilizables, que acaban circulando por foros de la dark web y sirven de materia prima para campañas continuas de credential stuffing. En la práctica, eso significa que un fallo en una plataforma puede poner en riesgo las cuentas del usuario en muchas otras, si se repite la misma contraseña.
Las autoridades europeas y los reguladores, a través de marcos como el RGPD, obligan a las empresas a notificar incidentes, mejorar sus controles y ser transparentes cuando hay indicios de un posible compromiso de datos. Para compañías con millones de usuarios, esto supone trabajar de forma constante en reforzar su infraestructura, pero también en educar a los clientes en buenas prácticas de seguridad digital.
En el caso concreto de PcComponentes, la empresa recalca que, de acuerdo con estas obligaciones legales, no podría mentir en un comunicado oficial sobre la existencia de una brecha interna. La versión que sostiene, por tanto, es que no se ha producido un hackeo a sus sistemas, sino un aprovechamiento de credenciales robadas en otros servicios, del que solo se han visto afectados algunos clientes concretos.
Con todo, el episodio sirve como recordatorio de que la combinación de filtraciones masivas, malas prácticas de contraseñas y redes de ciberdelincuencia bien organizadas hace que cualquier usuario europeo pueda convertirse en objetivo, aunque no haya hecho nada “raro” en una plataforma concreta.
Tras días de rumores, alegaciones cruzadas y análisis técnicos, el escenario que se dibuja es el de una tienda online que rechaza haber sufrido un hackeo masivo, pero que asume que una parte de sus clientes ha visto expuestos ciertos datos por culpa de credenciales recicladas en servicios previamente comprometidos. La combinación de nuevas medidas de seguridad, avisos personalizados y recomendaciones al usuario apunta a contener el impacto, pero también deja claro que, en el clima actual de ciberataques en España y Europa, mantener contraseñas únicas, activar el doble factor y desconfiar de mensajes sospechosos se ha convertido en algo casi tan imprescindible como el propio antivirus.
