En los Ăşltimos dĂas, una supuesta filtraciĂłn masiva de datos en PcComponentes ha encendido todas las alarmas en el sector tecnolĂłgico español. Lo que empezĂł como un aviso en canales especializados de ciberseguridad se ha convertido en un caso seguido muy de cerca por clientes, expertos y medios, con versiones enfrentadas entre el presunto atacante y la propia compañĂa.
Mientras un hacker asegura haber accedido a la base de datos de la tienda murciana y habla de millones de usuarios afectados, PcComponentes sostiene que no ha habido intrusión en sus sistemas y que lo que se está viendo es la consecuencia de un ataque de credential stuffing apoyado en contraseñas filtradas en otros servicios. En medio de este pulso público, la cuestión clave es qué ha pasado realmente y cómo pueden protegerse los usuarios.
El origen de la alerta: la reivindicaciĂłn del hacker y el aviso de Hackmanac
La controversia arranca cuando Hackmanac, una firma especializada en amenazas digitales con historial de alertas sobre incidentes en empresas como Endesa o ING, publica una notificación el 20 de enero de 2026. En ella advierte de que un actor de amenazas que se hace llamar «daghetiaw» afirma haber vulnerado los sistemas de PcComponentes.
SegĂşn esa alerta, el atacante asegura disponer de datos de unos 16,3 millones de personas relacionadas con la tienda online, todas ellas supuestamente extraĂdas de la base de datos de la compañĂa. La magnitud de la cifra y el tipo de informaciĂłn descrita hacen que el incidente se clasifique como amenaza de cibercrimen de alto impacto, aunque inicialmente queda marcado como «pendiente de verificaciĂłn».
Para respaldar su historia, el propio daghetiaw habrĂa publicado en foros de la ciberdelincuencia, como Breach Forums, una muestra de 500.000 lĂneas de informaciĂłn. Esa porciĂłn de datos servirĂa como «demostraciĂłn gratuita» antes de intentar vender el paquete completo al mejor postor o incluso usarlo como elemento de presiĂłn contra PcComponentes.
Los primeros análisis de esa muestra, a los que han accedido distintos medios especializados españoles, apuntan a un conjunto de informaciĂłn muy amplio y heterogĂ©neo, que abarcarĂa desde datos identificativos básicos hasta registros de soporte y detalles relacionados con pedidos.
Qué asegura tener el atacante: tipo de datos y alcance declarado
En sus mensajes pĂşblicos, el supuesto autor del ataque detalla que la base de datos incluirĂa informaciĂłn personal y corporativa de clientes de PcComponentes recopilada durante años de actividad del comercio electrĂłnico. No solo se habla de perfiles recientes: en la muestra se han identificado facturas de 2015, 2023 y otros ejercicios, lo que sugiere una antigĂĽedad amplia de los registros.
Entre los campos que el hacker asegura haber obtenido figuran nombres y apellidos, NIF o DNI de los clientes, asĂ como direcciones postales completas, cĂłdigos postales y datos de contacto. Este bloque de informaciĂłn permitirĂa trazar un perfil bastante preciso de cada usuario, con su identidad y su ubicaciĂłn aproximada.
TambiĂ©n se citan pedidos realizados, facturas, nĂşmeros de seguimiento de envĂos y elementos ligados directamente a la actividad comercial de la tienda. Es decir, quĂ© se comprĂł, cuándo, por cuánto dinero y cĂłmo se tramitĂł el envĂo. A esto se sumarĂan los tickets de Zendesk, el sistema de soporte, lo que abrirĂa la puerta a revisar historiales de comunicaciĂłn entre clientes y servicio de atenciĂłn.
En el apartado financiero, la reivindicaciĂłn habla de metadatos de tarjetas bancarias: tipo de tarjeta, fecha de caducidad y algunos detalles adicionales, aunque sin mencionar de forma explĂcita la presencia de nĂşmeros completos de tarjeta o cĂłdigos CVV. Junto a todo lo anterior, la base contendrĂa tambiĂ©n direcciones IP de los usuarios y cierta informaciĂłn estadĂstica interna sobre su comportamiento de compra.
El propio daghetiaw subraya que su objetivo serĂa monetizar el conjunto de datos, ya sea vendiĂ©ndolo en mercados clandestinos o utilizándolo como vĂa de extorsiĂłn. Este patrĂłn coincide con otros grandes incidentes recientes en España, como los asociados a empresas energĂ©ticas o administraciones pĂşblicas.
La posición de PcComponentes: niegan una brecha interna y señalan al credential stuffing
Frente al relato del atacante y los primeros avisos de Hackmanac, PcComponentes ha hecho pĂşblico un comunicado oficial en el que rechaza que se haya producido un acceso ilegĂtimo a sus servidores o a sus bases de datos. Tras una investigaciĂłn interna, la compañĂa sostiene que no ha detectado evidencias de intrusiĂłn en su infraestructura.
En lugar de una brecha clásica, la empresa habla de un ataque de «credential stuffing». Este tipo de amenaza se apoya en bases de datos previamente filtradas en otras webs o servicios, donde aparecen correos electrónicos y contraseñas en claro. Los atacantes utilizan esas listas y, de forma automática, prueban las mismas combinaciones de usuario y clave en múltiples plataformas, confiando en que muchos usuarios reutilizan la misma contraseña en diferentes sitios.
Cuando esa reutilizaciĂłn existe, es posible que terceros consigan entrar en cuentas reales sin necesidad de vulnerar directamente la seguridad de la empresa objetivo. SegĂşn PcComponentes, eso serĂa exactamente lo que se ha observado: accesos no autorizados a algunas cuentas de clientes aprovechando credenciales previamente expuestas en filtraciones ajenas a la tienda.
La compañĂa tambiĂ©n cuestiona de forma clara la cifra manejada por el atacante y difundida en redes: asegura que los 16 millones de clientes afectados no encajan con el nĂşmero de cuentas activas que mantienen hoy en su plataforma, que serĂa «marcadamente inferior». En todo caso, reconoce que hay una cantidad limitada de usuarios que sĂ han visto comprometidos ciertos datos a travĂ©s de esos accesos indebidos a sus cuentas.
Un punto central de la respuesta oficial es la insistencia en que no almacenan datos bancarios en sus sistemas y que las contraseñas de los clientes tampoco se guardan en texto legible. En su lugar, la información de pago se gestiona a través de tokens que identifican la operación pero no permiten reconstruir la tarjeta, y las claves de acceso se convierten en hashes cifrados e irreversibles.
Contradicciones pĂşblicas: el hacker vuelve a aparecer y acusa a la empresa de mentir
El cruce de versiones no se ha quedado ahĂ. Tras el comunicado de PcComponentes negando el hackeo directo, el propio daghetiaw reaparece en la red para responder a las afirmaciones de la compañĂa. En un nuevo mensaje, acusa a la tienda de mentir a sus clientes acerca de lo ocurrido y asegura disponer de pruebas sĂłlidas.
SegĂşn esta nueva publicaciĂłn, el atacante habrĂa llegado a acceder a paneles de administraciĂłn internos, sistemas de soporte y otras herramientas crĂticas de la empresa. Para respaldar sus palabras, habrĂa difundido credenciales de acceso de empleados, capturas de pantallas de interfaces internas y más detalles que, en teorĂa, demostrarĂan su presencia prolongada en la infraestructura de PcComponentes.
Medios especializados en videojuegos y tecnologĂa, asĂ como portales centrados en redes y telecomunicaciones, han informado de esta segunda ronda de filtraciones y aseguran que han contactado con la empresa para conocer quĂ© pasos piensa dar tras estas nuevas revelaciones. Por ahora, la respuesta oficial publicada por PcComponentes continĂşa centrada en el credential stuffing y en la ausencia de prueba concluyente de un robo masivo en sus servidores.
Esta situaciĂłn genera un escenario complejo para el usuario: por un lado, están las acusaciones detalladas del supuesto atacante; por otro, la negativa de la compañĂa a admitir una brecha interna y su insistencia en que todo parte de filtraciones externas ya conocidas. En cualquier caso, el riesgo práctico de uso malicioso de esos datos existe si el paquete realmente está en circulaciĂłn.
Más allá de la disputa pública, el incidente reabre el debate sobre cómo gestionan las empresas tecnológicas españolas la transparencia, la comunicación de incidentes y el cumplimiento del Reglamento General de Protección de Datos (RGPD), que obliga a informar con rigor cuando se sospecha de una violación de seguridad que afecte a información personal.
Datos potencialmente expuestos y riesgos reales para los clientes
Aunque PcComponentes insiste en que los datos bancarios y las contraseñas no se han visto comprometidos, la informaciĂłn que sĂ podrĂa estar circulando en manos de terceros no es precisamente inocua. Estamos hablando de nombres, apellidos, DNI o NIF, direcciones fĂsicas y de correo, nĂşmeros de telĂ©fono y direcciones IP asociadas a las conexiones.
Este tipo de datos es materia prima perfecta para ataques de phishing muy personalizados. Si un ciberdelincuente conoce quĂ© has comprado, cuándo lo hiciste y a quĂ© direcciĂłn se enviĂł, puede construir mensajes mucho más creĂbles que un simple correo genĂ©rico. Un SMS o email que mencione un pedido real y pueda incluir incluso el importe tiene muchas más posibilidades de engañar al destinatario.
Además, con documentos de identidad, datos de contacto y un historial de consumo, los atacantes pueden intentar suplantar la identidad de los afectados ante otras empresas o servicios, desde operadores y bancos hasta plataformas online. No hace falta que tengan tu contraseña de PcComponentes para que el riesgo exista: a menudo, basta con una combinaciĂłn de datos personales y tĂ©cnicas de ingenierĂa social bien afinadas.
Otro peligro evidente es que todo este paquete de informaciĂłn termine a la venta en foros clandestinos, donde diferentes grupos criminales pueden combinarlo con otras filtraciones ya existentes. Al cruzar bases de datos de distintas fuentes, se construyen perfiles extremadamente detallados sobre millones de ciudadanos europeos, lo que multiplica las posibilidades de fraude.
En este contexto, aunque la empresa subraya que las claves se almacenan como hashes irreversibles y que no se guardan números de tarjeta, la exposición de datos personales y de relación comercial sigue siendo un problema de calado para la privacidad y la seguridad de los usuarios, tanto en España como en el resto de Europa.
Medidas adoptadas por PcComponentes para reforzar la seguridad
Ante la ola de preocupación y la posibilidad de que algunos clientes hayan visto comprometidas sus cuentas, PcComponentes ha anunciado una serie de medidas técnicas para endurecer el acceso a la plataforma. El objetivo es reducir al máximo la eficacia de los ataques de credential stuffing y bloquear intentos automatizados.
En primer lugar, la empresa ha activado un CAPTCHA obligatorio en el inicio de sesiĂłn. Este sistema busca distinguir a humanos de bots, haciendo más difĂcil que herramientas automáticas prueben miles de combinaciones de usuario y contraseña en muy poco tiempo.
En segundo lugar, se ha decidido habilitar de forma forzosa la autenticación en dos pasos (2FA). A partir de ahora, para entrar en la cuenta no bastará con introducir la contraseña: será necesario confirmar el acceso mediante un código adicional enviado por correo electrónico u otro canal definido por la empresa.
Además, PcComponentes ha procedido a cerrar todas las sesiones activas, lo que obliga a todos los usuarios a iniciar sesiĂłn de nuevo bajo las nuevas condiciones de seguridad. De esta forma, se corta de raĂz cualquier sesiĂłn que pudiera estar comprometida por accesos no autorizados realizados con anterioridad.
La compañĂa asegura que estas acciones permiten reforzar de manera considerable la protecciĂłn de las cuentas y mitigar los riesgos derivados del uso de contraseñas filtradas en plataformas ajenas. Junto a ello, se ha comprometido a enviar comunicaciones individualizadas a los clientes potencialmente afectados, explicando la situaciĂłn y las recomendaciones especĂficas para cada caso.
Recomendaciones clave para los usuarios ante el posible hackeo
Independientemente de quiĂ©n tenga razĂłn en el choque de versiones, la experiencia demuestra que cuando se habla de filtraciones multimillonarias de datos en Europa, conviene actuar con prudencia. Varios medios y expertos en ciberseguridad, asĂ como la propia PcComponentes, han ido coincidiendo en una serie de medidas que los usuarios deberĂan tomar cuanto antes.
La primera es muy clara: cambiar la contraseña asociada a la cuenta de PcComponentes. Y no solo ahĂ, sino tambiĂ©n en todos aquellos servicios en los que se estĂ© utilizando la misma clave o una variante parecida. Reutilizar contraseñas es, a dĂa de hoy, uno de los errores más habituales y a la vez más peligrosos en internet.
En segundo lugar, es fundamental activar el doble factor de autenticación siempre que sea posible, tanto en PcComponentes como en bancos, correos electrónicos, redes sociales y otras plataformas sensibles. Este sistema añade una capa extra que puede frenar a un atacante incluso si ha logrado adivinar o robar la contraseña.
También se aconseja vigilar de cerca los movimientos bancarios durante las próximas semanas y considerar usar una tarjeta virtual. Aunque la empresa recalca que no almacena números de tarjeta, la presencia de metadatos y otros datos personales incrementa la probabilidad de intentos de estafa. Ante cualquier cargo desconocido, lo sensato es contactar cuanto antes con la entidad financiera.
Por Ăşltimo, hay consenso en algo que suena repetitivo, pero que cobra especial importancia en episodios como este: extremar la cautela frente a correos, SMS o llamadas sospechosas que se hagan pasar por PcComponentes u otras empresas. Si un mensaje menciona un pedido real y pide clicar en un enlace, introducir claves o facilitar datos bancarios, lo recomendable es desconfiar, acceder directamente a la web oficial tecleando la direcciĂłn en el navegador y comprobar allĂ si existe alguna incidencia.
Este incidente, confirmado o no como brecha interna por la empresa, vuelve a poner sobre la mesa cómo de expuestos están los datos personales de millones de usuarios y hasta qué punto prácticas tan cotidianas como repetir contraseñas o fiarse de cualquier mensaje «con pinta oficial» pueden abrir la puerta a problemas mayúsculos; la combinación de filtraciones previas, técnicas como el credential stuffing y campañas de phishing cada vez más sofisticadas dibuja un escenario en el que la prudencia digital deja de ser una recomendación abstracta para convertirse en una necesidad diaria.
