Leroy Merlin España está investigando un incidente de ciberseguridad tras la aparición de una supuesta base de datos con información de clientes en un conocido foro de ciberdelincuencia, tal y como informa Escudodigital.
Aunque inicialmente se habló de una filtración que afectaría a más de 54.700 registros, la compañía ha aclarado posteriormente que el incidente está relacionado con Hogami, su plataforma de servicios de instalación, mantenimiento y reformas, y que no afecta a la base general de clientes ni al marketplace de la empresa.
Una base de datos publicada en un foro de ciberdelincuencia
El incidente salió a la luz después de que un actor de amenazas identificado con el alias Saturne asegurara haber obtenido información correspondiente a 54.723 clientes de Leroy Merlin España. Como prueba de la supuesta filtración, el ciberdelincuente publicó una muestra de la base de datos en un foro especializado.
Según la información difundida, los registros incluirían datos personales y administrativos como nombres y apellidos, direcciones de correo electrónico, números de teléfono, direcciones postales, códigos postales, provincias, números de DNI, identificadores internos de cliente, información relacionada con la facturación, datos de la tarjeta de fidelización y registros sobre la aceptación de políticas de privacidad y comunicaciones comerciales.
La autenticidad del conjunto de datos no ha podido verificarse de forma independiente y, en un primer momento, tampoco había sido confirmada oficialmente por la compañía, aunque diferentes plataformas de inteligencia de amenazas comenzaron a monitorizar la publicación.
La aclaración de Leroy Merlin
Tras conocerse la información sobre la filtración, Leroy Merlin España emitió un comunicado en el que precisó que el incidente afecta exclusivamente a Hogami, su plataforma de servicios, y no al resto de sus sistemas comerciales.
La empresa aseguró que la información comprometida puede incluir datos identificativos, datos de contacto y determinados identificadores técnicos, pero subrayó que no se han visto comprometidas contraseñas, credenciales de acceso, datos bancarios, tarjetas de pago ni información que permita realizar operaciones económicas.
Asimismo, indicó que desde el primer momento activó sus protocolos internos de respuesta, notificó el incidente a la Agencia Española de Protección de Datos (AEPD) e informó a los clientes potencialmente afectados.
Riesgos para los usuarios
Aunque no se hayan expuesto credenciales de acceso ni datos financieros, este tipo de filtraciones sigue representando un riesgo importante para las personas afectadas.
La combinación de información personal como nombre, dirección, teléfono, correo electrónico o documento de identidad facilita que los ciberdelincuentes desarrollen campañas de phishing mucho más creíbles, haciéndose pasar por Leroy Merlin u otras organizaciones para solicitar datos adicionales o redirigir a las víctimas hacia páginas fraudulentas.
Además, la disponibilidad de documentos identificativos incrementa el riesgo de suplantación de identidad, contratación fraudulenta de servicios o ataques de ingeniería social mediante llamadas telefónicas (vishing) o mensajes SMS (smishing). Estas bases de datos también suelen combinarse con información procedente de filtraciones anteriores para elaborar perfiles más completos de los usuarios y aumentar la efectividad de futuros fraudes.
Qué obliga el RGPD ante una brecha de seguridad
El caso vuelve a poner de relieve las obligaciones que establece el Reglamento General de Protección de Datos (RGPD) cuando se produce una brecha que afecta a datos personales.
La normativa exige que las organizaciones analicen y documenten el incidente de forma inmediata y, cuando exista un riesgo para los derechos y libertades de las personas, notifiquen la brecha a la autoridad de control competente en un plazo máximo de 72 horas. Si el riesgo para los afectados es elevado, la empresa también debe comunicar el incidente directamente a los usuarios, explicando las posibles consecuencias y las medidas de protección recomendadas.
La importancia de la prevención
Más allá del cumplimiento de las obligaciones legales, los expertos recuerdan que la prevención continúa siendo la herramienta más eficaz para minimizar el impacto de este tipo de incidentes.
Las organizaciones deben reforzar sus medidas de ciberseguridad mediante controles de acceso, cifrado de la información, monitorización continua de los sistemas, auditorías periódicas, planes de respuesta ante incidentes y formación específica para los empleados. Estas medidas no solo reducen la probabilidad de sufrir una brecha de seguridad, sino que también permiten responder con mayor rapidez y preservar la confianza de clientes y colaboradores.
El incidente también vuelve a poner el foco sobre la creciente actividad de actores como Saturne, que en las últimas semanas ha reivindicado ataques contra varias empresas francesas y ha difundido gratuitamente parte de la información sustraída en foros especializados, una práctica que facilita la reutilización de los datos por parte de otros grupos criminales.
Imagen de archivo
