PcComponentes, la mayor tienda de tecnología de España, se encuentra en el centro de una de las filtraciones de datos más graves registradas en el sector del comercio electrónico nacional. Un ataque informático ha provocado la exposición de una base de datos que afecta a más de 16,3 millones de cuentas.

La gravedad del incidente no reside únicamente en el volumen de usuarios afectados, sino en la naturaleza de la información comprometida, que incluye datos personales extremadamente sensibles con un alto potencial de abuso.

La base de datos filtrada y el origen del ataque

La filtración fue publicada por un actor identificado como daghetiaw en un conocido foro de compraventa de bases de datos robadas. Según la información facilitada, el conjunto de datos corresponde a 16.384.110 cuentas individuales registradas en PcComponentes.

Para demostrar la veracidad del ataque, el responsable ha difundido muestras gratuitas de información real, utilizando a un grupo aleatorio de usuarios como prueba de autenticidad.

Qué datos personales han sido expuestos

El contenido de la filtración es especialmente preocupante por su amplitud y nivel de detalle. Entre los datos comprometidos se incluyen:

• Identificación personal: nombre, apellidos y NIF/DNI/NIE.
• Datos de contacto: correo electrónico y número de teléfono.
• Dirección y logística: dirección completa, código postal y datos de seguimiento de pedidos.
• Compras y facturación: historial de pedidos y facturas con documentación asociada.
• Soporte al cliente: tickets de Zendesk y conversaciones privadas con atención al cliente.
• Datos de pago (alegados): tipo de tarjeta utilizada y fecha de caducidad.
• Red y seguridad: direcciones IP de los usuarios.
• Preferencias internas: listas de deseos y métricas del perfil.

Riesgos reales para los usuarios afectados

El mayor peligro no es la realización de compras fraudulentas, sino el uso combinado de estos datos para suplantaciones de identidad, ataques de phishing altamente personalizados y fraudes dirigidos.

Disponer de conversaciones reales con el soporte de PcComponentes permite a los atacantes crear engaños extremadamente creíbles, replicando patrones ya vistos en filtraciones previas de grandes compañías energéticas y de telecomunicaciones.

Obligaciones legales y respuesta de PcComponentes

Desde el punto de vista legal, PcComponentes dispone de un plazo máximo de 72 horas para notificar la brecha a la Agencia Española de Protección de Datos (AEPD) y comunicar el incidente a los usuarios afectados.

La compañía ha publicado un comunicado en el que niega un acceso ilegítimo directo a sus bases de datos, pero reconoce accesos no autorizados a cuentas de clientes, lo que sigue constituyendo una brecha de datos personales.

Como medidas inmediatas, se ha implementado un sistema de CAPTCHA, se ha activado el doble factor de autenticación por correo electrónico y se han invalidado sesiones activas para frenar ataques de apropiación de cuentas.

Qué debes hacer si tienes cuenta en PcComponentes

Si eres cliente de PcComponentes, es fundamental cambiar tu contraseña de forma inmediata y extremar la precaución ante correos o llamadas sospechosas. Aunque las contraseñas estén cifradas, los datos personales ya han sido expuestos.

La filtración deja en evidencia problemas de seguridad estructurales que, según fuentes internas, podrían arrastrarse desde hace años. El impacto real de este incidente se medirá en los próximos meses.