Inditex ha confirmado que un tercero accedió sin autorización a bases de datos alojadas en un proveedor externo. El gigante gallego de la moda rápida, matriz de Zara, Massimo Dutti y otras siete marcas globales, investiga ahora el alcance real de la brecha. No es un incidente menor: hablamos de una empresa que facturó 35.947 millones de euros en su último ejercicio fiscal y gestiona datos de millones de clientes en 93 mercados.
La noticia, adelantada por La Voz de Galicia, coloca a Inditex en una lista incómoda. Booking sufrió un episodio similar hace semanas. Telefónica ha lidiado con filtraciones internas. El patrón se repite, y las preguntas también: ¿Están las grandes cotizadas españolas preparadas para un entorno donde los ciberataques ya no son excepcionales, sino rutinarios?
Inditex ciberataque: qué sabemos hasta ahora
La compañía ha sido escueta en su comunicación oficial. Confirma el acceso no autorizado, señala que los datos afectados estaban en infraestructura de un proveedor externo y asegura que está colaborando con las autoridades competentes. Punto. No hay cifras sobre registros comprometidos, ni detalle sobre qué tipo de información —personal, financiera, operativa— pudo quedar expuesta.
Esta opacidad tiene sentido desde el punto de vista legal. El Reglamento General de Protección de Datos (RGPD) obliga a notificar brechas a la Agencia Española de Protección de Datos en un plazo máximo de 72 horas desde que se tiene conocimiento del incidente. Hablar antes de tiempo puede complicar la investigación y generar responsabilidades adicionales.
Pero el silencio también tiene costes. Los inversores odian la incertidumbre. La acción de Inditex cotiza en el IBEX 35 con una capitalización bursátil que ronda los 140.000 millones de euros, la mayor del selectivo español. Cualquier duda sobre la integridad de sus sistemas —o sobre su capacidad de respuesta— puede traducirse en volatilidad.
El problema no es Inditex, es el modelo
Aquí viene la parte incómoda. El ataque no se produjo en servidores de Inditex, sino en los de un proveedor externo. Esto es cada vez más frecuente. Las grandes corporaciones externalizan infraestructura, almacenamiento y procesos a terceros especializados. Ganan eficiencia y flexibilidad. Pero también ceden control.
El resultado es una cadena de suministro digital donde el eslabón más débil determina la seguridad del conjunto. Da igual que Inditex invierta millones en ciberseguridad si un subcontratista tiene protocolos laxos o personal sin formación adecuada. El atacante siempre busca la puerta más fácil.
No es un problema exclusivo del sector textil. Sanidad, banca, energía, distribución: todos los sectores dependen de proveedores tecnológicos. Y todos enfrentan el mismo dilema. ¿Cómo auditar la seguridad de decenas —a veces cientos— de colaboradores externos? ¿Quién responde cuando falla un tercero?
Ciberseguridad IBEX 35: una asignatura pendiente
Me cuesta no ver un patrón. Booking, Telefónica, ahora Inditex. El denominador común es el tamaño: son empresas grandes, con estructuras complejas, muchas filiales y proveedores dispersos por todo el mundo. Eso las convierte en objetivos atractivos para grupos de ciberdelincuentes, pero también en organizaciones donde es más difícil mantener una política de seguridad coherente.
El Instituto Nacional de Ciberseguridad (INCIBE) gestionó más de 83.000 incidentes en España durante 2025, un 24% más que el año anterior. La tendencia es clara. Los ataques crecen en volumen y sofisticación. Los recursos de defensa crecen también, pero no al mismo ritmo.
Las empresas del IBEX 35 publican cada vez más información sobre sus políticas de ciberseguridad en los informes anuales de gobierno corporativo. Es un avance. Pero los detalles técnicos suelen ser genéricos: «inversiones en protección de datos», «formación de empleados», «colaboración con expertos». Pocas veces hay métricas concretas, auditorías independientes publicadas o indicadores que permitan comparar el nivel de madurez entre compañías.
Creo que esto va a cambiar. La presión regulatoria europea —con la directiva NIS2 ya en vigor— obligará a las grandes empresas a demostrar, no solo declarar, que cumplen estándares mínimos de ciberseguridad. Y los inversores institucionales empiezan a incluir el riesgo ciber en sus análisis ESG. Quien no se adapte, pagará un coste reputacional y financiero.
Inditex ante el mercado: daño contenido, por ahora
A corto plazo, el impacto en bolsa parece limitado. Inditex ha cerrado las últimas sesiones sin movimientos bruscos atribuibles al incidente. El mercado, de momento, confía en que la brecha no afecta al núcleo del negocio ni compromete información crítica de clientes a gran escala.
Eso puede cambiar si aparecen datos filtrados en foros de la dark web o si la investigación revela que el alcance es mayor del comunicado inicialmente. Los precedentes en otros sectores muestran que el daño reputacional tarda semanas —a veces meses— en materializarse, pero cuando lo hace, es persistente.
La próxima cita relevante para Inditex es la presentación de resultados del primer trimestre, prevista para junio. Si la compañía no ha cerrado el caso para entonces, es probable que los analistas pregunten. Y el silencio dejará de ser una opción.
Mientras, la única certeza es que el ciberataque a Inditex no será el último. La pregunta ya no es si tu empresa será atacada, sino cuándo y cómo responderá cuando ocurra.
