Equipo de ciberintelixencia, monitorización, simulación de ‘hackers’… Así é o blindaxe dixital de Inditex

Un acceso non autorizado ás bases de datos puxo en marcha os protocolos de ciberseguridade de Inditex. A multinacional con sede en Arteixo alertou este mércores do ataque informático sobre ditas bases, aloxadas en servidores dun terceiro provedor, que non afectou “a información persoal nin bancaria”, sen quedar expostos, polo tanto, datos persoais dos clientes como contrasinais ou tarxetas bancarias. A pesar deste incidente, a protección fronte a ciberataques é un dos piares da política de seguridade da información da compañía. 

“Durante 2025, reforzamos o noso compromiso coa mellora continua na xestión da seguridade da información, dentro dun marco orientado a garantir a confidencialidade, integridade e dispoñibilidade da información e dos procesos que sustentan os canais de venda e distribución de Inditex”, explican desde a compañía na súa última memoria anual.

Neste exercicio reforzaron as súas capacidades para detectar e responder a ciberataques como os DDoS, nos que se envía unha gran cantidade de tráfico falso desde múltiples dispositivos cara a un servidor, páxina web ou servizo en liña co obxectivo de saturalo e deixalo inaccesible para os usuarios; ou os credential stuffing, onde se utilizan os nomes de usuario e contrasinais roubados en filtracións anteriores para tentar acceder ilegalmente a outras contas en diferentes servizos web. 

As medidas de Inditex para reforzar a seguridade

Unha das principais actuacións da multinacional en materia de ciberseguridade o ano pasado foi a “monitorización continua e detección temperá de riscos e ameazas” mediante o seu equipo especializado en ciberintelixencia. “Durante 2025 continuamos co análise dos actores que poderían representar ameazas para a Compañía, así como das súas Técnicas, Tácticas e Procedementos (TTP)”. Este seguimento dos atacantes permitiu á compañía identificar os métodos empregados e “propoñer accións de mellora” para optimizar a súa capacidade de resposta. 

Inditex conta ademais cun Centro de Operacións de Seguridade (SOC), dispoñible 24 horas os sete días da semana, que está encargado da “detección, análise, notificación e resolución” dos potenciais “eventos de seguridade” que poidan afectala. Segundo detallan na memoria, en 2025 rexistráronse un total de 66 incidencias; as máis relevantes foron reportadas ao Comité de Seguridade da Información. Non obstante, ningunha delas tivo “impacto reseñable” nas súas “operacións” ou “estados financeiros”. 

Unha das tarefas máis destacadas en materia de ciberseguridade é o despregue de medidas de prevención. Para iso contan con “diversos programas de detección de vulnerabilidades tanto públicos como privados” cos que conseguen detectar debilidades no seu sistema.

En materia de prevención tamén realizaron novos escenarios Red Team, que son exercicios de ciberseguridade nos que un equipo especializado simula ataques reais e dirixidos contra unha organización para avaliar a súa capacidade de defensa, detección e resposta. Estas prácticas permiten identificar cales son os seus puntos débiles e mellorar o seu sistema de seguridade. “Mantemos como principais áreas de atención a prevención de fugas e roubo de información sensible, a dispoñibilidade dos servizos críticos (venda e distribución) e o control da integridade da información, con atención ao ámbito da información financeira”. 

Outro dos piares nos que sustenta o seu protocolo de ciberseguridade é o da formación ofrecida, entre outros, aos membros do Consello de Administración así como a directores de ámbito internacional. A compañía conta con programas formativos especializados para os equipos de desenvolvemento de software, enfocados a “fortalecer as boas prácticas de seguridade e garantir a conformidade coas normativas aplicables”. 

En 2025 tamén ampliaron o seu catálogo de formación interna abordando as novas ameazas relacionadas coa intelixencia artificial, como o deep fake, contidos falsos —normalmente vídeos, audios ou imaxes— creados con IA que imitan de forma moi realista a cara, a voz ou os xestos dunha persoa. A iso habería que sumar os exercicios de “enxeñaría social, centrados especialmente en tácticas de phishing, co obxectivo de verificar e reforzar o nivel de conciencia do noso persoal”. 

Colaboracións en ciberseguridade

Tal e como detallan na memoria, para manterse ao tanto das últimas innovacións e tendencias en materia de ciberseguridade, a compañía colabora con distintas organizacións públicas e privadas. Unha delas é a ONG CyberPeace Institute, que axuda a comunidades vulnerables a protexerse e recuperarse fronte a ciberataques.

Tamén son membros de CSIRT.es, a Plataforma de Equipos de Ciberseguridade e Xestión de Incidentes españois, e do TF-CSIRT, o Grupo de Traballo de Equipos de Resposta a Incidentes de Seguridade. A iso habería que sumar a súa presenza en foros especializados como o Centro de Ciberseguridade Industrial (CCI), a Asociación Española para o Fomento da Seguridade da Información (ISMS Forum) ou o Executive Action Forum promovido pola RSA Conference. 

Comité Asesor de Ciberseguridade

Ao final de 2023 o xigante téxtil puxo en marcha o Comité Asesor de Ciberseguridade, un órgano dependente da Comisión de Auditoría e Cumprimento, cuxo fin é asesorar en cuestións relacionadas coa seguridade da información e a ciberseguridade. “Este Comité reforza a supervisión dos riscos tecnolóxicos e posiciona a ciberseguridade como materia de análise estruturado ao máis alto nivel”.

“A Comisión recibiu do Comité Asesor de Ciberseguridade (…) información sobre a súa actividade e os principais asuntos tratados, co fin de orientar o proceso de toma de decisións ante posibles ameazas, informar de incidentes críticos, medidas de seguridade, posibles riscos e debilidades de control e, en xeral, sobre o nivel de madurez do sistema de seguridade da información do Grupo”.