Equipo de ciberinteligencia, monitorización, simulación de ‘hackers’… Así es el blindaje digital de Inditex

El gigante textil cuenta, entre otros, con un Centro de Operaciones de Seguridad, disponible los siete días de la semana, que está encargado de la “detección, análisis, notificación y resolución” de los potenciales riesgos de seguridad que le puedan afectar

Imagen exterior de la sede de Inditex en Arteixo

Imagen exterior de la sede de Inditex en Arteixo

Por
Comentarios Comentarios
Comentarios

Un acceso no autorizado a las bases de datos puso en marcha los protocolos de ciberseguridad de Inditex. La multinacional con sede en Arteixo alertó este miércoles del ataque informático sobre dichas bases, alojadas en servidores de un tercer proveedor, que no afectó “a información personal ni bancaria”, sin quedar expuestos, por tanto, datos personales de los clientes como contraseñas o tarjetas bancarias. A pesar de este incidente, la protección frente a ciberataques es uno de los pilares de la política de seguridad de la información de la compañía. 

“Durante 2025, hemos reforzado nuestro compromiso con la mejora continua en la gestión de la seguridad de la información, dentro de un marco orientado a garantizar la confidencialidad, integridad y disponibilidad de la información y de los procesos que sustentan los canales de venta y distribución de Inditex”, explican desde la compañía en su última memoria anual.

En dicho ejercicio reforzaron sus capacidades para detectar y responder a ciberataques como los DDoS, en los que se envía una gran cantidad de tráfico falso desde múltiples dispositivos hacia un servidor, página web o servicio online con el objetivo de saturarlo y dejarlo inaccesible para los usuarios; o los credential stuffing, donde se utilizan los nombres de usuario y contraseñas robadas en filtraciones anteriores para intentar acceder para intentar acceder ilegalmente a otras cuentas en diferentes servicios web. 

Las medidas de Inditex para reforzar la seguridad

Una de las principales actuaciones de la multinacional en materia de ciberseguridad el año pasado fue la “monitorización continua y detección temprana de riesgos y amenazas” mediante su equipo especializado en ciberinteligencia. “Durante 2025 continuamos con el análisis de los actores que podrían representar amenazas para la Compañía, así como de sus Técnicas, Tácticas y Procedimientos (TTP)”. Este seguimiento de los atacantes ha permitido a la compañía identificar los métodos empleados y “proponer acciones de mejora” para optimizar su capacidad de respuesta. 

Inditex cuenta además con un Centro de Operaciones de Seguridad (SOC), disponible 24 horas los siete días de la semana, que está encargado de la “detección, análisis, notificación y resolución” de los potenciales “eventos de seguridad» que le puedan afectar. Según detallan en la memoria, en 2025 se registraron un total de 66 incidencias; las más relevantes fueron reportadas al Comité de Seguridad de la Información. No obstante, ninguna de ellas tuvo “impacto reseñable” en sus “operaciones” o “estados financieros”. 

Una de las tareas más destacadas en materia de ciberseguridad es el despliegue de medidas de prevención. Para ello cuentan con “diversos programas de detección de vulnerabilidades tanto públicos como privados” con los que consiguen detectar debilidades en su sistema

En materia de prevención también han realizado nuevos escenarios Red Team, que son unos ejercicios de ciberseguridad en los que un equipo especializado simula ataques reales y dirigidos contra una organización para evaluar su capacidad de defensa, detección y respuesta. Estas prácticas permiten identificar cuáles son sus puntos débiles y mejorar su sistema de seguridad. “Mantenemos como principales áreas de atención la prevención de fugas y robo de información sensible, la disponibilidad de los servicios críticos (venta y distribución) y el control de la integridad de la información, con atención al ámbito de la información financiera”. 

Otro de los pilares en el que sustenta su protocolo de ciberseguridad es el de la formación ofrecida, entre otros, a los miembros del Consejo de Administración así como a directores de ámbito internacional. La compañía cuenta con programas formativos especializados para los equipos de desarrollo de software, enfocados a “fortalecer las buenas prácticas de seguridad y en garantizar la conformidad con las normativas aplicables”. 

En 2025 también ampliaron su catálogo de formación interna abordando las nuevas amenazas relacionadas con la inteligencia artificial, como el deep fake, contenidos falsos —normalmente vídeos, audios o imágenes— creados con IA que imitan de forma muy realista la cara, la voz o los gestos de una persona. A ello habría que sumar los ejercicios de “ingeniería social, centrados especialmente en tácticas de phishing, con el objetivo de verificar y reforzar el nivel de concienciación de nuestro personal”. 

Colaboraciones en ciberseguridad

Tal y como detallan en la memoria, para mantenerse al tanto de las últimas innovaciones y tendencias en materia de ciberseguridad, la compañía colabora con distintas organizaciones públicas y privadas. Una de ellas es la ONG CyberPeace Institute, que ayuda a  comunidades vulnerables a protegerse y recuperarse frente a ciberataques.

También son miembros de CSIRT.es, la Plataforma de Equipos de Ciberseguridad y Gestión de Incidentes españoles, y del TF-CSIRT, el Grupo de Trabajo de Equipos de Respuesta a Incidentes de Seguridad. A ello habría que sumar su presencia en foros especializados como el Centro de Ciberseguridad Industrial (CCI), la Asociación Española para el Fomento de la Seguridad de la Información (ISMS Forum) o el Executive Action Forum promovido por la RSA Conference. 

Comité Asesor de Ciberseguridad

A finales de 2023 el gigante textil puso en marcha el Comité Asesor de Ciberseguridad, un órgano dependiente de la Comisión de Auditoría y Cumplimiento, cuyo fin es asesorar en cuestiones relacionadas con la seguridad de la información y la ciberseguridad. “Este Comité refuerza la supervisión de los riesgos tecnológicos y posiciona la ciberseguridad como materia de análisis estructurado al más alto nivel”.

“La Comisión ha recibido del Comité Asesor de Ciberseguridad (…) información sobre su actividad y los principales asuntos tratados, con el fin de orientar el proceso de toma de decisiones ante posibles amenazas, informar de incidentes críticos, medidas de seguridad, posibles riesgos y debilidades de control y, en general, sobre el nivel de madurez del sistema de seguridad de la información del Grupo”. 

Comenta el artículo
Avatar

Periodista

Ver perfil
Sigue al autor

Historias como esta, en su bandeja de entrada cada mañana.

O apúntese a nuestro  canal de Whatsapp

Más en

Deja una respuesta

Ahora en portada

SUSCRÍBETE A ECONOMÍA DIGITAL

Regístrate con tu email y recibe de forma totalmente gratuita las mejores informaciones de ECONOMÍA DIGITAL antes que el resto

También en nuestro canal de Whatsapp