Adidas España ha confirmado una brecha de datos que comprometió información personal de clientes tras el compromiso de un proveedor de servicios de atención al cliente. Aunque no se expusieron credenciales ni datos bancarios, los actores de amenaza podrían explotar la información filtrada para campañas de phishing dirigidas.

El 28 de mayo de 2025, se confirmó que Adidas España ha sido víctima indirecta de un incidente de ciberseguridad, luego de que uno de sus proveedores de atención al cliente sufriera un ciberataque. La información fue reportada por El Español, medio que tuvo acceso a las notificaciones enviadas por la marca a los usuarios afectados.

Análisis técnico del incidente

Aunque Adidas aclaró que no se han visto comprometidas credenciales de acceso (Adiclub) ni información financiera, como tarjetas bancarias, sí se filtraron datos personales sensibles como:

• Nombre y apellidos
• Fecha de nacimiento
• Dirección de correo electrónico
• Número de teléfono

Este tipo de datos puede parecer inofensivo a simple vista, pero en conjunto puede ser utilizado por actores maliciosos para llevar a cabo ataques de ingeniería social, incluyendo:

• Phishing dirigido (spear phishing)
• Suplantación de identidad (brand impersonation)
• Recolección de información para fraudes más complejos

Al tratarse de un incidente originado en un tercero (third-party breach), se pone en evidencia la necesidad crítica de aplicar políticas robustas de gestión de riesgo con proveedores (Third-Party Risk Management, TPRM) dentro del marco de seguridad de cualquier organización.

Medidas de mitigación y recomendaciones

Aunque Adidas ha asegurado que no es necesario tomar medidas urgentes, se recomienda aplicar buenas prácticas de seguridad personal, como:

• Estar atentos a correos electrónicos o mensajes sospechosos que intenten hacerse pasar por Adidas.
• No hacer clic en enlaces ni descargar archivos desde fuentes no verificadas.
• En caso de duda, verificar la autenticidad del remitente directamente con la empresa.
• Como medida preventiva, actualizar contraseñas puede ser una buena práctica de higiene digital.
• Activar alertas de consumo en medios de pago vinculados, por si el incidente escalara.

Falta de detalles técnicos y respuesta organizacional

Hasta el momento, Adidas no ha revelado la naturaleza específica del ataque, ni el número exacto de clientes afectados. Tampoco se ha mencionado el vector de ataque utilizado contra el proveedor comprometido, aunque es probable que se trate de alguna forma de acceso no autorizado, como vulnerabilidades en aplicaciones web, falta de segmentación de datos o phishing contra personal interno.

La empresa ha comunicado que está llevando a cabo una investigación y que implementará nuevas medidas para reforzar la seguridad de sus procesos tercerizados.

Contexto: Aumento de ataques a grandes marcas

Este incidente se suma a una serie de ataques recientes contra el sector retail en España. Solo días antes, Amazon España también fue afectada por un hackeo que expuso la información de más de 5 millones de usuarios. Esta tendencia refuerza la necesidad de mayor vigilancia sobre la cadena de suministro digital, especialmente en sectores de alto volumen de clientes.