Objetivo, hackear a la moda: un año de ciberataques en Adidas, Kering y LVMH

En un mundo marcado por la tecnología, donde el ecommerce no ha dejado de crecer en décadas, la cadena de suministro está atravesada por la Inteligencia Artificial (IA) y el machine learning y los datos se han convertido en un activo igual de valioso que el stock, la ciberseguridad ha entrado de lleno en el centro de las agendas de las empresas. Los ciberataques arremeten a cualquier sector con un alto volumen de transacciones, lo que convierte a la industria de la moda en un objetivo muy atractivo.

Los ataques informáticos durante los últimos años han aumentado hasta el punto de ser uno de los principales malestares de las compañías de todos los sectores, desde deporte hasta belleza, con una incidencia especial en el lujo. Únicamente en 2025, el coste estimado para las empresas derivado de ciberataques alcanzará 10,5 billones de dólares, suponiendo un 300% más que hace una década, según los últimos datos de McKinsey.

Aunque el tiempo de respuesta frente a los riesgos cibernéticos ha disminuido en los últimos años, las compañías tardan un promedio de 73 días para contener un incidente. En 2024, las empresas gastaron aproximadamente 200.000 millones de dólares en productos y servicios de ciberseguridad, frente a los 140.000 millones de 2020. Se prevé que el mercado de la ciberseguridad de proveedores externos crezca un 12,4% anual entre 2024 y 2027, superando los niveles históricos de crecimiento, a medida que las organizaciones buscan reducir los ataques.

Los ataques en seguridad suponen un promedio de 5 millones de dólares por incidente, un 138% más que en 2023

Cada vez más grupos utilizan la inteligencia artificial para optimizar sus operaciones, arriesgándose a introducir ciberamenazas en el sistema inadvertidamente, generando una demanda creciente de soluciones avanzadas de ciberseguridad. La IA está expandiendo lo que ya representa una oportunidad de negocio de 2 billones de dólares para los proveedores de ciberseguridad.

El phishing, la vulnerabilidad del correo electrónico empresarial y el robo de credenciales provocan brechas de seguridad que cuestan a los grandes grupos un promedio de 5 millones de dólares por incidente exitoso, un 138% más que en 2023. ¿Cuáles han sido las grandes victimas de los hackers en la moda?

Calendario de ataques

Desde 2024, en una especie de calendario de adviento, empresas del sector de la moda y la cosmética se han visto afectadas por numerosos ciberataques que, en los peores casos, han supuesto la publicación de datos privados de los clientes de dichas compañías por grupos ciberdelincuentes y la paralización de sus plataformas durante días.

Hace justo un año, en septiembre de 2024, el grupo español de gran distribución de moda Tendam sufrió un ataque informático en el cual los ciberdelincuentes accedieron a más de 720 gigas de información, donde podría encontrarse datos comprometidos de sus clientes. A través del acceso no autorizado, los autores del ataque reclamaron a la empresa el pago de 800.000 euros para que no se filtrase información.

También en el plano nacional, a comienzos de este año, la compañía alicantina de calzado Hoff vio afectados datos de sus clientes como nombres y números de teléfono, así como históricos de pedidos. De la misma forma, el pasado marzo, El Corte Inglés informó de un acceso no autorizado, asegurando haber detectado el problema y que la información vulnerada no permitió a terceros operar ni realizar pagos con sus tarjetas.

Marks&Spencers sufrió una brecha de seguridad en marzo, obligando al grupo a pausar sus pedidos online

Durante el tercer mes del ejercicio en curso, la industria de la moda británica sufrió tres ataques en apenas dos semanas. Co-op Group sufrió un ataque en el que, meses después, se revelaron las magnitudes del incidente, afectando a los datos de más de 6,5 millones de miembros, incluyendo nombres, direcciones y datos de contacto, sin embargo, la empresa aseguró que no se vieron afectados datos financieros.

Le siguió Marks&Spencers, que sufrió una brecha de seguridad similar, causante del bloqueo de su página web durante semanas y obligando al grupo a pausar sus pedidos en línea, lo que se estima que pudo costar hasta 404 millones de dólares a la compañía. Al contrario que para Harrods, que fue víctima de una brecha en seguridad con el impacto mínimo, aunque sí tuvo que restringir brevemente el acceso a su sitio web. Estos tres últimos casos estuvieron relacionados, como se supo a comienzos de julio, cuando la National Crime Agency de Reino Unido detuvo a cuatro sospechosos comunes a todos los incidentes.    

También Vitoria’s Secret sufrió uno de los ataques con más coste para la empresa, que tuvo que cerrar su web durante cuatro días en mayo, lo que dio como resultado la caída de sus acciones hasta un 8% en el parqué.

En el mundo del equipamiento deportivo se cuentan los ataques en seguridad desde Adidas, víctima de uno de ellos el pasado mayo, cuando la empresa afirmó que los datos bancarios de sus clientes se encontraban a salvo, hasta The North Face, que notificó a sus clientes en junio que sus datos personales habían sido sustraídos en un ataque informático que tuvo lugar en abril, asegurando que ninguna información de tarjetas de pago se ha visto afectada. El menor de los impactos fue recibido por Decathlon, que el pasado mayo se vio obligado a realizar un análisis sobre la última filtración de la que fue víctima, aunque solamente afectó a los correos electrónicos de sus empleados.

El caso del lujo

Este tipo de incidentes han proliferado especialmente entre las empresas del sector del lujo. Dior, propiedad de LVMH, estuvo en el foco durante el mes de mayo, cuando anunció haber sufrido un ciberataque en el mercado chino y aseguró que no hubo afectaciones en los datos financieros durante el ataque, así como que el autor de este no había accedido a la base de datos completa. En este caso, ha habido un desenlace: la firma de lujo propiedad del grupo francés LVMH se enfrenta a la acusación de las autoridades chinas sobre la transferencia ilegal de los datos personales de sus clientes desde su sucursal en Shanghái a su sede en Francia. La autoridad de seguridad pública ha impuesto una sanción administrativa contra la empresa.

Un mes después, LVMH también fue víctima de la filtración de datos. El ataque al grupo afectó a 419.000 clientes, incluyendo nombres, detalles de pasaportes, direcciones y direcciones de correo electrónico, así como números de teléfono, historial de compras y preferencias de productos también de su mercado asiático.

Cartier, Chanel y Gucci han sido víctimas de filtraciones de datos en los últimos meses

El sector de la joyería de lujo también está en el punto de mira de los ciberdelincuentes. Cartier sufrió un ataque informático en su página web que supuso el robo de datos de clientes, aunque no se accedió a información financiera. Semanas más tarde, Pandora notificó a sus clientes que sus datos personales habían sido sustraídos, como nombres y direcciones de correo electrónico, sin verse comprometidas contraseñas, datos financieros ni información confidencial similar.

Durante el mes de agosto, Chanel volvió a ser víctima de una filtración de datos, tras otro ataque apenas un mes anterior. La empresa francesa afirmó que el incidente involucraba una base de datos de Chanel Inc. en Estados Unidos, alojada por un proveedor de servicios externos, sin afectar a las operaciones del grupo.

El conglomerado del sector del lujo que se suma este septiembre a la lista de afectados es Kering, que ha confirmado haber sido víctima de un ataque informático atribuido al grupo Shiny Huntes, en el que sustrajeron datos de sus clientes de la marca Gucci como nombres, direcciones y cifra total de gasto en las tiendas de la empresa, así como a otras marcas de la compañía, como Balenciaga o Alexander McQueen.

Los ataques informáticos que afectaron a Clarins se tradujeron en la publicación de información de más de 600.000 clientes

En el mundo de la cosmética de lujo, la base de datos de Clarins sufrió un ataque de filtración de datos, que terminaron publicándose en el blog del grupo responsable del ciberataque, Everest, afirmando que habían obtenido información de más de 600.000 clientes de la empresa, abarcando Estados Unidos, Francia y Canadá.

Como consecuencia de las filtraciones, las autoridades procedentes de cada país han tomado las medidas correspondientes, sobre todo en el mercado asiático. La comisión de protección de información personal de Corea del Sur ha multado al grupo Moncler con 88 millones de wones (63.200 dólares) por violación de datos de clientes a gran escala. El incidente tuvo lugar en diciembre de 2021 y expuso datos personales de más de 230.000 usuarios, incluyendo información financiera como números de tarjetas, así como nombres y correos electrónicos.