Un actor identificado en la red con el alias "daghetiaw" aseguró haber publicado una base de datos de clientes de PcComponentes con más de 16 millones de registros, y filtró una muestra de medio millón de entradas mientras ofrecía el resto a la venta. La supuesta filtración incluía desde detalles de pedidos y direcciones físicas hasta nombres completos, números de teléfono, direcciones IP, listas de deseos y conversaciones de soporte gestionadas a través de Zendesk, según la muestra que circuló en foros. La alarma fue inmediata entre los usuarios de la tienda online y en la prensa especializada, que comenzó a seguir el caso y a preguntar por el alcance real del incidente (BleepingComputer).
Sin embargo, PcComponentes ha rechazado que su infraestructura haya sufrido un acceso ilícito directo. En un comunicado oficial la compañía afirma que tras revisar sus sistemas no encontraron indicios de intrusión en sus bases de datos internas ni en sus sistemas internos y que la cifra de 16 millones de cuentas afectadas no se corresponde con el número de cuentas activas que manejan. Además, la firma subraya que no almacena en sus sistemas datos financieros ni contraseñas en texto plano, y que la cantidad de cuentas realmente comprometidas es mucho menor de lo que afirma el atacante (comunicado oficial de PcComponentes).
Pese a esa negación de una intrusión directa, la compañía sí confirmó haber detectado un ataque de tipo credential stuffing contra su plataforma. En este tipo de campañas, los atacantes automatizan intentos de acceso usando combinaciones de correos y contraseñas obtenidas en fugas o robadas por malware; la idea es aprovechar la costumbre extendida de reutilizar credenciales en varios servicios. PcComponentes reconoció que se registraron intentos masivos de acceso con credenciales recogidas en otras filtraciones y que, en algunos casos, esos intentos dieron lugar a accesos a cuentas concretas.
La investigación de firmas de inteligencia de amenazas aportó más contexto: Hudson Rock, que analizó los ejemplos difundidos por el actor malicioso, encontró que los correos presentes en la muestra coincidían con registros de infostealers —malware diseñado para robar credenciales y otros datos del equipo infectado—, algunos de ellos con trazas que databan incluso de 2020. Hudson Rock explica cómo los registros de infostealers permiten montar ataques de credential stuffing muy convincentes porque reproducen credenciales efectivas obtenidas en otros incidentes (análisis de Hudson Rock).
Según la propia PcComponentes, la información que pudo verse comprometida en un número reducido de cuentas incluye nombre y apellidos, número de identificación nacional, direcciones, direcciones IP, correos y teléfonos. La empresa ha puntualizado que no detectó extracción masiva de bases de datos desde sus sistemas, sino accesos puntuales asociados al abuso de credenciales reutilizadas.
Como respuesta inmediata, la plataforma ha activado una batería de medidas técnicas: implementación de CAPTCHA en los formularios de acceso para dificultar las automatizaciones, forzado del cierre de todas las sesiones activas e imposición del uso de autenticación de doble factor (2FA) para poder volver a iniciar sesión. Los usuarios afectados verán cómo sus sesiones son desconectadas y, si no tenían 2FA, se les exigirá configurarlo antes de recuperar el acceso. Además, la empresa recomienda emplear contraseñas únicas y robustas y utilizar gestores de contraseñas para evitar la reutilización.
La historia ilustra dos puntos importantes sobre ciberseguridad: por un lado, que no toda divulgación pública de datos implica necesariamente una brecha interna del proveedor; por otro, que la práctica extendida de usar la misma contraseña en múltiples servicios es una de las vías más sencillas para que un robo de credenciales en un lugar distinto acabe provocando accesos no autorizados en la cuenta de un comercio. Para entender la mecánica de estos ataques con más detalle, existen explicaciones técnicas y guías sobre credential stuffing que resultan útiles, por ejemplo en la documentación divulgativa de Cloudflare (Cloudflare: Credential stuffing).
Si te preocupa la seguridad de tu cuenta con PcComponentes o con cualquier otro servicio online, la recomendación práctica es sencilla pero efectiva: cambia contraseñas que hayas reutilizado, activa la autenticación en dos pasos siempre que esté disponible y vigila movimientos extraños en tus comunicaciones y en tus cuentas bancarias. Además, conviene comprobar si tu correo ha aparecido en filtraciones conocidas mediante servicios de reputación de credenciales y activar avisos de acceso cuando la plataforma lo permita.
En este caso concreto, varios medios especializados solicitaron a PcComponentes cifras más precisas sobre el número de cuentas afectadas y los detalles de la investigación, pero en el momento de redactar este artículo no había respuesta pública adicional que aclarase el alcance exacto. Queda por ver si las muestras filtradas proceden en su totalidad de cuentas comprometidas por credential stuffing a partir de registros de infostealers o si, como sostiene la empresa, parte de la información ha sido reclasificada o descontextualizada por el autor de la filtración.
Mientras tanto, la situación sirve como recordatorio: las plataformas pueden reforzar sus controles, pero la primera línea de defensa sigue estando en las prácticas de los usuarios. Contraseñas únicas, gestores de claves y la activación del 2FA reducen mucho la probabilidad de que un incidente similar acabe con acceso indebido a cuentas personales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...