La ciberseguridad en España vuelve a estar en el ojo del huracán apenas unas horas después de conocerse el incidente de Endesa. Una nueva alerta de amenaza digital, detectada este 20 de enero, apunta directamente a PcComponentes, uno de los gigantes del comercio electrónico de tecnología en nuestro país. Un actor malicioso afirma haber vulnerado los sistemas de la compañía y tener en su poder información sensible de más de 16 millones de registros.
Es vital recalcar que, a esta hora de la mañana del 21 de enero, el incidente figura en los registros de ciberseguridad como «pendiente de verificación». La compañía murciana aún no ha emitido un comunicado oficial confirmando o desmintiendo la intrusión, pero la magnitud de los datos que el atacante asegura poseer obliga a mantener la cautela y la atención sobre el caso.
Qué datos estarían comprometidos
El presunto autor del ataque, que opera bajo el alias «daghetiaw», ha publicado un reporte en foros de cibercrimen detallando el botín digital. Según su reivindicación, la base de datos exfiltrada no se limita a correos electrónicos y contraseñas, sino que profundiza en la estructura operativa y fiscal de los clientes.
Entre la información que se habría visto expuesta figuran los números de NIF (DNI), direcciones físicas completas, teléfonos de contacto y un historial detallado de pedidos. Sin embargo, hay dos puntos que preocupan especialmente por su sensibilidad:
- Soporte técnico: El atacante asegura tener acceso a los tickets de Zendesk. Esto implica que las conversaciones privadas entre los usuarios y el servicio de atención al cliente (reclamaciones, dudas técnicas, devoluciones) estarían expuestas.
- Datos financieros: La alerta menciona la filtración de facturas y «metadatos de tarjetas de crédito». Es importante matizar este punto técnico: el término «metadatos» suele referirse a información parcial (como los últimos cuatro dígitos, el tipo de tarjeta o la fecha de caducidad) y no necesariamente al número completo (PAN) o al código de seguridad (CVV), aunque la exposición de cualquier dato bancario siempre supone un riesgo para ataques de phishing dirigidos.
Una prueba de 500.000 líneas
Para dar credibilidad a su amenaza, «daghetiaw» ha liberado una muestra gratuita que contiene 500.000 líneas de información supuestamente extraída de los servidores de PcComponentes. Esta práctica es habitual en el cibercrimen: se ofrece un «aperitivo» para demostrar la veracidad del ataque y presionar a la víctima o atraer compradores en el mercado negro.
La cifra total de afectados que esgrime el hacker asciende a 16,3 millones de individuos. Teniendo en cuenta la población española y el volumen de negocio del e-commerce, esta cifra podría incluir no solo a clientes activos actuales, sino a registros históricos de años anteriores o bases de datos de marketing, aunque esto entra dentro del terreno de la especulación hasta que exista una auditoría forense.
Un comienzo de año complicado para la ciberseguridad
Este incidente no es un caso aislado. El sector TIC español está sufriendo una oleada de ataques en este arranque de 2026, con la reciente filtración de datos de clientes de Endesa Energía todavía fresca en la memoria de los consumidores.
Desde Glitcheados hemos contactado con el departamento de comunicación de PcComponentes para contrastar la información y conocer su versión de los hechos. Por el momento, la prudencia es la mejor herramienta: a falta de confirmación oficial sobre si la brecha es real o un intento de extorsión con datos reciclados, se recomienda a los usuarios estar atentos a comunicaciones oficiales y desconfiar de correos electrónicos sospechosos que soliciten datos urgentes.
