Una presunta brecha de seguridad en la web de Leroy Merlin España ha encendido las alarmas: fuentes independientes aseguran que miles de datos de clientes fueron extraídos y puestos a disposición en foros de ciberdelincuentes. La noticia ha circulado rápidamente en comunidades de seguridad informática y redes, obligando a usuarios y analistas a revisar con cautela la información disponible.
Mientras la compañía todavía no emite una versión pública confirmando o descartando el incidente, investigadores externos han mostrado lo que describen como pruebas y un paquete de registros que, de ser verídicos, implicaría un alcance significativo en datos personales recogidos por la plataforma.
Alcance y origen del supuesto ataque a la web de Leroy Merlin España
Según los reportes iniciales, la intrusión apuntaría a la web oficial registrada como leroymerlin.es. El archivo compartido en foros habría sido publicado por un usuario identificado como Saturn y, siempre según esas publicaciones, contiene información correspondiente a 54.723 clientes en territorio español.
- Fuente que difundió la noticia: Hackmanac, entre otras cuentas de análisis en ciberseguridad.
- Fecha de aparición pública: el paquete fue detectado por primera vez en foros el 25 de junio de 2026, y la información extraída se atribuye a registros de junio de 2026.
- Forma de distribución: los datos no estarían puestos a la venta sino publicados gratuitamente en plataformas de intercambio entre ciberdelincuentes.
- Estado de verificación: la autenticidad del volcado no ha sido confirmada por entidades independientes al momento de redactarse este texto.
Qué tipos de datos personales habrían sido filtrados
En las fuentes que han mostrado fragmentos del paquete se enumeran campos habituales en los perfiles y facturaciones de clientes. Entre los elementos que se mencionan están:
- DNI o documento nacional de identidad;
- Nombre y apellidos;
- Correo electrónico;
- Número de teléfono;
- Dirección postal completa;
- Fechas e historiales de facturación;
- Referencias a tarjetas de fidelidad o tarjetas de la tienda.
No existe, por ahora, evidencia pública de que se hayan expuesto datos financieros sensibles como números completos de tarjetas de crédito o códigos CVV; sin embargo, la presencia de información personal y de facturación puede facilitar fraudes y suplantaciones de identidad si se combina con otros datos.
Riesgos y tácticas que podrían derivarse de la filtración
La divulgación de datos personales abre la puerta a varias amenazas que los usuarios deben considerar con atención. Los atacantes suelen aprovechar la información filtrada para:
- Ejecutar campañas de phishing por correo o SMS simulando comunicaciones legítimas de la empresa.
- Intentos de ingeniería social por teléfono, donde se usa información verídica para ganar confianza.
- Creación de cuentas fraudulentas o intentos de acceso a servicios que requieran verificación con datos personales.
- Combinación de datos con otras filtraciones para realizar robos de identidad más elaborados.
Señales de alerta ante mensajes sospechosos
- Correos o SMS que pidan contraseñas, números de tarjeta completos o códigos OTP por respuesta.
- Enlaces que redirigen a páginas con URLs ligeramente diferentes a las oficiales.
- Solicitudes urgentes para actualizar métodos de pago o descargar archivos adjuntos inesperados.
- Llamadas de desconocidos que conocen datos personales básicos y los usan para presionar.
Qué pasos deben tomar los clientes potencialmente afectados
Si crees que tu información podría estar entre la filtrada, hay medidas preventivas y reactivas que ayudan a reducir el impacto.
- Cambia las contraseñas vinculadas a tu cuenta en Leroy Merlin España y en cualquier otro servicio donde uses la misma clave. Prioriza contraseñas únicas y robustas.
- Activa la verificación en dos pasos (2FA) siempre que sea posible.
- Revisa movimientos bancarios y notificaciones de facturación. Si detectas cargos no autorizados, contacta de inmediato a tu entidad financiera.
- Desconfía de comunicaciones no solicitadas. Verifica siempre a través de los canales oficiales de la empresa antes de proporcionar datos o seguir enlaces.
- Considera el registro en servicios de monitorización de identidad o alertas de fraude si estás preocupado por un riesgo mayor.
- Denuncia la incidencia ante las autoridades competentes y, si procede, ante la Agencia Española de Protección de Datos (AEPD).
Cómo pueden actuar Leroy Merlin y obligaciones legales tras una fuga de datos
Ante un incidente de este tipo, la empresa afectada tiene responsabilidades legales y técnicas claras según el Reglamento General de Protección de Datos (RGPD) y la normativa española:
- Investigar y contener la brecha para minimizar daños.
- Notificar a la autoridad de protección de datos competente en el plazo legal, salvo excepciones muy concretas.
- Informar a los usuarios afectados si existe un riesgo alto para sus derechos y libertades, describiendo medidas adoptadas y recomendaciones.
- Evaluar medidas correctoras y reforzar controles de seguridad, auditorías y revisiones de acceso.
En este episodio concreto, la compañía no ha emitido, por el momento, una comunicación oficial que confirme la autenticidad del volcado o detalle los pasos que se están tomando para atenderlo.
Cómo verificar si tus datos han sido comprometidos y dónde pedir ayuda
Para comprobar un posible compromiso de datos y recibir soporte, puedes seguir estas pautas:
- Contacta únicamente a través de los canales oficiales de Leroy Merlin España (teléfonos y formularios en la web corporativa verificada).
- Revisa avisos en la cuenta de usuario dentro del sitio oficial o en el área de notificaciones de la compañía.
- Consulta recursos y listados de brechas conocidos en plataformas de ciberseguridad y servicios de monitoreo de identidad.
- Si experimentas suplantación de identidad o fraude, presenta una denuncia ante las fuerzas y cuerpos de seguridad y solicita bloqueo o cambio de datos en instituciones pertinentes.
Artículos similares
- LastPass: hackeo filtra datos de usuarios y reabre dudas sobre seguridad
- Hamburguesa gourmet Zaragoza Champions Burger: vaca y buey con caramelo y mayonesa de tuétano
- Barcelona: restaurante expone datos personales y orientación sexual por malas reseñas
- Anthropic filtró el código de Claude por error y no puede borrarlo de internet
- España endurece medidas: Hoteles no deben exigir copias de DNI o pasaportes a huéspedes
Tomás Villalba es un periodista especializado en ciencia y tecnología. Sus artículos destacan la inteligencia artificial, el espacio, la robótica y las innovaciones digitales que están transformando el mundo. Con un estilo claro y preciso, ayuda a los lectores a comprender los avances que influyen en su vida diaria.
