💡 Resumen (TL;DR):
- Un ciberataque a un proveedor de atención al cliente expuso la información personal de millones de usuarios de la tienda europea.
- El atacante filtró 43 GB de datos en foros clandestinos, incluyendo más de 935,000 tickets de soporte técnico.
- ManoMano revocó el acceso del contratista vulnerado y notificó a las autoridades francesas para investigar el incidente.
La plataforma de comercio electrónico ManoMano confirmó una brecha de seguridad masiva que afectó a 38 millones de clientes, luego de que hackers comprometieran los sistemas de uno de sus proveedores externos de servicio al cliente en enero de 2026.
La compañía con sede en París, que opera en Francia, Bélgica, España, Italia, Alemania y el Reino Unido, comenzó a notificar a los usuarios esta semana. La filtración expuso nombres completos, correos electrónicos, números de teléfono y los historiales de comunicación con el departamento de soporte.
“En enero de 2026, identificamos un acceso no autorizado vinculado a este proveedor, lo que resultó en la extracción no autorizada de ciertos datos personales asociados con cuentas de clientes e interacciones de servicio al cliente”, declaró ManoMano al medio especializado BleepingComputer.
La empresa aclaró que los atacantes no obtuvieron las contraseñas de las cuentas y que no modificaron ninguna información dentro de sus servidores principales.
Un error externo con alcance de 43 GB
Reportes no confirmados indican que la organización vulnerada fue un centro de atención telefónica ubicado en Túnez. Los atacantes habrían comprometido su cuenta de Zendesk, lo que obligó a ManoMano a transferir toda su operación de soporte a la empresa ADM Value en Madagascar.
Un hacker bajo el alias “Indra” se atribuyó el ataque en el foro cibercriminal BreachForums a principios de febrero. El delincuente afirmó tener en su poder:
- 37.8 millones de registros de usuarios.
- 43 GB de datos en total.
- 935,000 tickets de servicio posventa.
- Más de 13,500 archivos adjuntos de clientes en distintos países de Europa.
El mismo día que descubrió la intrusión, la plataforma de e-commerce bloqueó la cuenta comprometida y revocó los accesos del subcontratista. También reportó el incidente a la agencia de ciberseguridad francesa ANSSI y a la comisión de protección de datos CNIL.
Fundada en 2013 y valorada en $2.6 mil millones de dólares durante su última ronda de inversión en 2021, la compañía recibe a 50 millones de visitantes únicos al mes. Ante la gravedad de la filtración, ManoMano pidió a sus más de 5,000 comerciantes y a todos sus clientes extremar precauciones contra estafas por SMS, intentos de phishing y posibles fraudes bancarios.
