La lucha de Inditex contra los ciberataques con simulacros y un equipo especializado
El grupo textil ve clave el despliegue de “medidas de prevención”, para lo cual forma a su personal y cuenta con programas de detección de vulnerabilidades
La ciberdelincuencia experimenta un auge significativo a nivel mundial a medida que la sociedad tiende a digitalizar procesos de ámbitos tan diversos como la salud, la educación, finanzas, administración pública o datos clave de las empresas, entre otros. Esto provoca que se haya convertido en una de las principales amenazas de seguridad.
Inditex, matriz de marcas como Zara, Massimo Dutti, Bershka o Stradivarius, no es ajena a esta situación. La memoria anual de su actividad en 2025 recoge que el grupo textil continuó con el refuerzo de sus “capacidades de defensa” para mejorar “la detección y respuesta ante amenazas” como los ataques DDoS (método para inundar un servidor con tráfico falso, sobrecargándolo para dejarlo fuera de servicio), el ‘credential stuffing’ (un ciberataque automatizado en el que los hackers utilizan bots para intentar acceder continuamente a un sitio web con credenciales robadas) y las vulnerabilidades de terceros.
La multinacional con sede en Arteixo realizó “ejercicios” para evaluar la “recuperación de sistemas críticos” y mitigar “riesgos de continuidad”, para lo cual se apoya en “una infraestructura certificada por su alto rendimiento y fiabilidad”, tal y como detalla el informe anual.
Inditex dispone de un equipo especializado de ciberinteligencia, encargado de la monitorización continua y la detección temprana de riesgos y amenazas. “Durante 2025 continuamos con el análisis de los actores que podrían representar amenazas para la compañía, así como de sus técnicas, tácticas y procedimientos. El análisis de los actores nos ha permitido identificar los métodos utilizados por estos, evaluar nuestra preparación y proponer acciones de mejora para optimizar nuestra capacidad de detección y respuesta”, señala la memoria de 2025.
Incidencias
La compañía textil también cuenta con el denominado Centro de Operaciones de Seguridad (SOC), que está disponible las 24 horas del día y los siete días a la semana, encargado de la detección, análisis, notificación y resolución de los potenciales eventos de seguridad que puedan afectar a la empresa.
Los datos correspondientes al ejercicio de 2025 revelan que se contabilizaron un total de 66 eventos de interés y que los más relevantes fueron reportados al Comité de Seguridad de la Información. “Ninguno de estos eventos ha tenido impacto reseñable en nuestras operaciones ni en nuestros estados financieros”, afirma Inditex.
El informe anual recoge que para defenderse de los ciberataques es clave el despliegue de “medidas de prevención”, por ello la empresa tiene “diversos programas de detección de vulnerabilidades tanto públicos como privados”, cuya finalidad es la búsqueda de “debilidades” en su “perímetro”. El año pasado se gestionaron 105 reportes asociados a estos programas.
Como parte de esta política de prevención, se llevaron a cabo simulaciones de ataques dirigidos a los servidores del grupo textil por parte de personal externo independiente para encontrar los puntos débiles y mejorar el estado de la seguridad. “Mantenemos como principales áreas de atención la prevención de fugas y robo de información sensible, la disponibilidad de los servicios críticos (venta y distribución) y el control de la integridad de la información, con atención al ámbito de la información financiera”, informa Inditex.
Además, otra pata de prevención es la formación sobre ciberseguridad a miembros del Consejo de Administración, así como a los directores de la compañía del ámbito internacional. Esto también se extiende a los equipos de desarrollo de software.
Al mismo tiempo, se realizaron ejercicios dirigidos de ingeniería social, centrados especialmente en tácticas de suplantación de identidad.
