Observatorio de vulneraciones de datos
Cuatro de cada cinco pequeñas empresas han sufrido una vulneración de datos reciente. Y un solo incidente puede costarle a una pequeña empresa más de 1 millón de dólares. Entonces, ¿por qué no escuchamos más noticias sobre vulneraciones de datos?
Proton no espera a que se informen las vulneraciones. En su lugar, acudimos a la dark web y rastreamos las filtraciones en tiempo real. Haga clic a continuación para ver si está afectado y, para reducir su riesgo, utilice un gestor de contraseñas para empresas.
Raaga
¿Qué sucedió?
Un conjunto de datos que contiene más de 10 millones de registros del servicio indio de música en streaming Raaga apareció en la dark web tras un incidente que presuntamente ocurrió en diciembre de 2025. Los datos comprometidos incluyen nombres, fechas de nacimiento, números de teléfono, direcciones de correo electrónico, nombres de usuario y contraseñas. En enero de 2026, la empresa confirmó oficialmente(nueva ventana) la vulneración y recomendó a los usuarios que cambiaran sus contraseñas y activaran la autenticación de dos factores para proteger sus cuentas del acceso no autorizado.
Canada Goose
¿Qué sucedió?
En febrero de 2026, la marca canadiense de ropa de lujo Canada Goose fue vinculada a una exposición de datos que involucraba casi un millón de registros de clientes. En una declaración oficial(nueva ventana), la empresa confirmó que los datos "parecen estar relacionados con transacciones anteriores de clientes" y declaró que el incidente se originó a partir de una vulneración en un tercero en agosto de 2025. Los datos filtrados incluían nombres de clientes, direcciones físicas, números de teléfono y direcciones de correo electrónico.
Association Nationale des Premiers Secours (ANPS)
¿Qué sucedió?
La Association Nationale des Premiers Secours (ANPS), una organización francesa sin fines de lucro de primeros auxilios, fue blanco de un ciberataque que resultó en la filtración de más de 300.000 registros. Los datos expuestos incluían información personal y financiera confidencial, como nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico e IBAN. La ANPS confirmó que la filtración se originó en un sistema heredado(nueva ventana) y declaró que ha notificado a la Autoridad Francesa de Protección de Datos (CNIL).
Substack
¿Qué sucedió?
La plataforma de publicación digital Substack se vio afectada por un importante incidente de extracción de datos de la API que expuso la información de contacto de más de 660.000 usuarios. El incidente ocurrió en octubre de 2025, pero fue divulgado oficialmente el 6 de febrero de 2026(nueva ventana), apenas unos días después de que un hacker conocido como "w1kkid" filtrara lo que afirmaba ser datos de usuarios de Substack. En una notificación enviada a los usuarios, la empresa declaró que las contraseñas, los números de tarjetas de pago y otra información financiera no fueron expuestos.
Bumble
¿Qué sucedió?
En enero de 2026, la aplicación de citas Bumble confirmó(nueva ventana) que la cuenta de un contratista se vio comprometida en un ataque de suplantación, otorgando a los atacantes acceso no autorizado a su red interna. El grupo cibercriminal ShinyHunters se atribuyó la responsabilidad, supuestamente extrayendo 30 GB de datos, incluyendo documentos de la empresa e información de los empleados. Aunque Bumble declaró que su base de datos de miembros, cuentas de usuario y mensajes privados no se vieron afectados, una demanda colectiva(nueva ventana) presentada en febrero de 2026 alega que una amplia gama de información de identificación personal (PII) de los usuarios fue expuesta en el ataque "evitable".
Match Group
¿Qué sucedió?
En enero de 2026, Match Group, la empresa principal de Tinder y Hinge, confirmó(nueva ventana) un incidente de ciberseguridad que involucraba una "cantidad limitada de datos de usuarios", declarando que "no había indicios de que se haya accedido a las credenciales de los usuarios, información financiera o comunicaciones privadas". El ataque se vinculó a una campaña de suplantación de voz (vishing) de ShinyHunters(nueva ventana) dirigida a su proveedor de identidad, Okta. Los datos expuestos incluían información personal y de contacto, como nombres, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico.
Panera Bread
¿Qué sucedió?
La cadena estadounidense de panaderías y cafeterías Panera Bread sufrió una importante vulneración de datos que expuso más de 8 millones de registros de clientes, incluyendo nombres, fechas de nacimiento, números de teléfono y direcciones de correo electrónico. Según The Register,(nueva ventana) el grupo cibercriminal ShinyHunters obtuvo acceso a los sistemas internos de la empresa al comprometer un código SSO de Microsoft Entra. El incidente fue parte de la campaña más amplia de suplantación de voz (vishing)(nueva ventana) del grupo que también afectó a Bumble, Match Group, SoundCloud y otros.
SoundCloud
¿Qué sucedió?
La plataforma de música en streaming SoundCloud se vio afectada por una exposición de datos que involucraba a más de 29 millones de registros de usuarios. El incidente formaba parte de la misma campaña generalizada de "vishing" (nueva ventana)llevada a cabo por el grupo de actores de amenazas ShinyHunters, dirigida a múltiples empresas tecnológicas importantes a principios de 2026. SoundCloud confirmó(nueva ventana) que la exposición involucró nombres y direcciones de correo electrónico de clientes, y aclaró que "no se ha accedido a datos confidenciales (como datos financieros o contraseñas)".
Thermomix (Vorwerk) – Recipe World Forum
¿Qué sucedió?
En enero de 2026, una base de datos que contenía más de 3 millones de registros de usuarios del Thermomix Recipe World Forum (Rezeptwelt) se filtró en línea tras un incidente de seguridad. La empresa principal Vorwerk confirmó(nueva ventana) que la vulneración se limitó a un servidor subordinado gestionado por un proveedor de servicios externo y no afectó su plataforma principal ni sus dispositivos conectados. Los datos comprometidos incluían nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico y nombres de usuario.
Endesa
¿Qué sucedió?
En enero de 2026, la empresa energética española Endesa notificó a sus clientes(nueva ventana) sobre un ciberataque que resultó en la filtración de información altamente confidencial, incluyendo nombres, códigos postales, números de teléfono, direcciones de correo electrónico, números de identificación e IBAN. Endesa confirmó que estaba trabajando con las fuerzas del orden para abordar la vulneración, que probablemente se inició a través de credenciales comprometidas.
Qantas Airways
¿Qué sucedió?
La aerolínea nacional de Australia, Qantas Airways Ltd., fue el objetivo de un grupo de hackers llamado Scattered Lapsus$ Hunters, que lanzó un ataque de ransomware(nueva ventana). La empresa no pagó el rescate, lo que provocó la filtración de más de 11 millones de registros de clientes en la dark web. Se expusieron datos confidenciales, incluidos nombres, direcciones y direcciones de correo electrónico de clientes, pero no se encontraron registros financieros. Qantas anunció que ha reforzado sus medidas de seguridad tras las vulneraciones de datos.
Vietnam Airlines
¿Qué sucedió?
En octubre de 2025, un conjunto de datos obtenido de los sistemas de Salesforce de varias organizaciones fue publicado en línea(nueva ventana) por un grupo de hackers conocido como "Scattered LAPSUS$ Hunters". Una de las empresas afectadas fue Vietnam Airlines, donde los atacantes habían accedido previamente a su entorno de Salesforce en junio de 2025. La vulneración expuso más de 30 millones de registros de clientes, incluyendo nombres, fechas de nacimiento, direcciones, números de teléfono y direcciones de correo electrónico.
Bouygues Telecom
¿Qué sucedió?
En agosto de 2025, el proveedor francés de telecomunicaciones Bouygues Telecom reportó un ciberataque(nueva ventana) que provocó la exposición de casi 6,4 millones de registros de clientes. Los datos filtrados contenían nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico e IBAN. La empresa declaró que todos los clientes afectados fueron notificados sobre el incidente.
Miljödata
¿Qué sucedió?
En agosto de 2025, el proveedor de sistemas sueco Miljödata sufrió un ataque de ransomware (nueva ventana)que provocó la publicación de datos robados en la dark web. La información filtrada incluía direcciones de correo electrónico y contraseñas, junto con información personal adicional como nombres, fechas de nacimiento, direcciones, números de teléfono y números de identidad personal emitidos por el gobierno.
Gratis
¿Qué sucedió?
El segundo mayor proveedor de servicios de internet y telefonía de Francia, Free(nueva ventana), confirmó en octubre de 2024 que había sido objeto de una vulneración de datos. En mayo de 2025, aparecieron datos de clientes en la dark web: se filtraron nombres, fechas de nacimiento, números de teléfono, direcciones de correo electrónico e IBAN. En total, aparecieron online más de 19,5 millones de registros. La Comisión Nacional de Informática y Libertades inició un procedimiento de sanción contra Free en marzo de 2025.
Royal Mail
¿Qué sucedió?
El servicio postal del Reino Unido Royal Mail se vio afectado por una vulneración de datos (nueva ventana)que involucraba una filtración de 144 GB de información de clientes. Según los informes, el incidente se originó en Spectos, un proveedor de servicios alemán utilizado por Royal Mail para supervisar la calidad de las entregas. Los datos expuestos incluían nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico y contraseñas.
Hertz
¿Qué sucedió?
En abril de 2025, el gigante mundial de alquiler de automóviles Hertz confirmó una vulneración de datos(nueva ventana) que resultó en la exposición de información de clientes. El incidente fue causado por una vulnerabilidad de software de un tercero en Cleo, un programa de transferencia de archivos utilizado por la empresa. Los atacantes aprovecharon fallas de "día cero" en el software para obtener acceso no autorizado a los datos. Los datos comprometidos incluían nombres, direcciones de correo electrónico, nombres de usuario y contraseñas.
Orange Romania
¿Qué sucedió?
En febrero de 2025, un hacker llamado Rey obtuvo más de 3,4 millones de registros de la sucursal rumana del proveedor de telecomunicaciones Orange(nueva ventana). Datos que incluían nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico, nombres de usuario y números de identificación de clientes aparecieron en la dark web tras un ataque de ransomware por el que Orange se negó a pagar. Orange está supervisando el ataque junto con la Dirección Nacional de Ciberseguridad de Rumanía (DNSC).
Zacks Investment Research
¿Qué sucedió?
La empresa de investigación de inversiones con sede en Chicago Zacks Investment Research(nueva ventana) fue víctima de un ataque de hackers en junio de 2024. En febrero de 2025, aparecieron a la venta online datos de clientes que incluían nombres, direcciones, números de teléfono, direcciones de correo electrónico, nombres de usuario y contraseñas. La empresa aún no ha abordado esta vulneración, ya que se ha visto afectada por varias vulneraciones de datos en los últimos años.
PhoneMondo
¿Qué sucedió?
En enero de 2025, aparecieron en la dark web más de 10,5 millones de registros robados de la plataforma de telecomunicaciones alemana PhoneMondo. Los datos confidenciales incluyen nombres, fechas de nacimiento, direcciones, números de teléfono, direcciones de correo electrónico, nombres de usuario, contraseñas e IBAN. Hasta octubre de 2025, no parece que PhoneMondo haya reconocido la vulneración.
Mantenga a su empresa fuera de esta lista
Sus contraseñas y la autenticación de múltiples factores son su primera línea de defensa contra los hackers. Descubra cómo miles de líderes de pequeñas empresas simplifican la gestión de contraseñas y protegen sus datos.
Acerca del Observatorio de vulneraciones de datos
- ¿Qué es el Observatorio de vulneraciones de datos?
- ¿De dónde obtienen su información?
- ¿Por qué informar sobre las noticias de vulneraciones de datos?
- ¿Divulgar las vulneraciones de datos recientes no perjudica a las empresas?
- ¿Cómo se añaden las vulneraciones al Observatorio de Vulneraciones de Datos?
- ¿Qué datos se filtran?
- ¿Qué tipos de datos hacen que una vulneración sea crítica?
- ¿Qué significa la fecha de publicación de la vulneración?