MANGO reconoce una filtración de datos de sus clientes. Una que puede dar pie a una campaña de ciberestafas

La marca española de moda MANGO ha notificado a sus clientes un incidente de seguridad que ha afectado a uno de sus proveedores externos de marketing, lo cual ha provocado que se expongan parte de los datos personales de algunos usuarios.

Aunque el suceso no ha afectado, aparentemente, información sensible ni acceso a sistemas internos, el caso subraya una preocupación creciente en el sector: los riesgos derivados de la externalización de servicios y la seguridad en la cadena de suministro digital.

Qué ha ocurrido

Ayer, Mango emitió un comunicado oficial informando de un acceso no autorizado a uno de los servicios de marketing externo. Según la empresa, la información afectada se limita a datos de contacto utilizados en campañas promocionales: nombre (sin apellidos), país, código postal, dirección de correo electrónico y número de teléfono.

La compañía aseguró que sus sistemas internos y la infraestructura tecnológica de Mango no se vieron comprometidos, y que no se expuso ningún tipo de información financiera, identificativa o de acceso, como contraseñas, tarjetas de crédito, DNI o pasaportes.

Qué tipo de datos fueron comprometidos

El alcance del incidente, aunque limitado, no deja de ser relevante. Aunque la filtración no haya expuesto apellidos, DNI o datos financieros, los ratos restantes, en apariencia inofensivos, pueden ser utilizados en ataques de ingeniería social y campañas de phishing altamente personalizadas, especialmente cuando provienen de marcas reconocidas con millones de clientes.

Por ejemplo, los delincuentes podrían enviar correos falsos simulando comunicaciones legítimas de Mango —como encuestas, promociones o actualizaciones de pedido—, aprovechando la confianza del usuario y su familiaridad con la marca, y a través de ahí convencer a los usuarios de que compartan los datos de sus tarjetas de créditos.

La respuesta de Mango

La compañía activó "todos los protocolos de seguridad" tan pronto tuvo conocimiento del suceso. De acuerdo con su comunicado, Mango ha informado del incidente a la AEPD (Agencia Española de Protección de Datos) y a las autoridades competentes, cumpliendo así con las obligaciones del Reglamento General de Protección de Datos (RGPD).

Además, Mango ha emitido recomendaciones a sus clientes para mantener la vigilancia frente a posibles intentos de fraude o comunicaciones sospechosas, y ha habilitado un canal específico para resolver dudas a través de su correo electrónico personaldata@mango.com y el teléfono de atención al cliente.

En Genbeta

Qué son los ataques en la cadena de suministro o cómo el propio software de ASUS infectó con malware a miles de sus ordenadores

La cadena de suministro, el talón de Aquiles de la ciberseguridad empresarial

Este incidente vuelve a poner sobre la mesa una de las principales amenazas actuales en ciberseguridad: los ataques y filtraciones a través de proveedores externos. Cada empresa que maneja datos o accede a sistemas corporativos representa un posible vector de ataque, especialmente en sectores como el retail y el marketing digital, donde se manejan grandes volúmenes de información personal.

Según el Informe ENISA 2025 sobre amenazas de ciberseguridad, el 62 % de las filtraciones de datos reportadas en Europa durante el último año implicaron a terceros (proveedores o servicios en la nube).

Al menos, que Mango haya confirmado que el incidente no afectó sus servidores ni sus sistemas internos sugiere una segmentación adecuada de datos y una gestión responsable de accesos. Sin embargo, la exposición demuestra que la seguridad de una empresa es tan fuerte como el eslabón más débil de su red de socios.

Tomando nota...

De esta situación pueden extraerse varias lecciones relevantes tanto para empresas como para consumidores:

Para las empresas

1. Auditar regularmente a los proveedores externos, especialmente aquellos que manejan información personal o datos de clientes.
2. Incluir cláusulas de ciberseguridad y responsabilidad en los contratos con terceros.
3. Aplicar principios de minimización de datos: compartir con socios solo la información estrictamente necesaria.
4. Monitorizar en tiempo real las integraciones API y los accesos externos.
5. Notificar de forma transparente e inmediata cualquier incidente, siguiendo las directrices del RGPD.

Para los usuarios

1. Desconfiar de correos o mensajes inesperados que aparenten ser de Mango (u otras marcas e instituciones conocidas).
2. Verificar siempre la dirección del remitente y los enlaces antes de hacer clic.
3. No compartir datos personales ni financieros en formularios no verificados.
4. Activar medidas de autenticación multifactor (MFA) cuando sea posible.
5. Mantenerse informado a través de fuentes oficiales.

Vía | H4ckmanac

Imagen | Marcos Merino mediante IA

En Genbeta | Cómo denunciar un fraude o delito: qué hacer paso a paso y dónde acudir