El 25 de junio de 2026, la cuenta Hackmanac en X alerto de que el grupo de ciberdelincuentes conocido como Saturne habia publicado de forma gratuita en foros de hacking una base de datos que asegura haber extraido de leroymerlin.es, la web oficial de Leroy Merlin Espana. Segun la informacion publicada, el paquete contiene 54.723 registros de clientes espanoles con datos personales que incluyen el numero de DNI. La publicacion se hizo de forma gratuita, sin ponerla a la venta, lo que indica que el objetivo no es la monetizacion directa sino la exposicion publica. La firma de auditoria tecnica ESIX califico el incidente con un indice de gravedad de 4,86, exigiendo respuesta inmediata de contencion. Leroy Merlin no habia emitido comunicado oficial a la hora de publicar este articulo. El incidente esta pendiente de verificacion por parte de los equipos forenses de la compania, pero el historial de Saturne como grupo con ataques verificados previos no genera optimismo. Es ademas el segundo incidente de seguridad que afecta a Leroy Merlin en menos de siete meses: en diciembre de 2025, la compania reconocio publicamente un ciberataque que afecto a datos de clientes en Francia, notificado a la autoridad francesa de proteccion de datos (CNIL).

¿Que se sabe del hackeo a Leroy Merlin Espana?

Los hechos documentados por Hackmanac, Escudo Digital, Hipertextual, ADSLZone y que.es son los siguientes:

  • Actor: el grupo Saturne, identificado por su historial documentado de ataques a empresas de gran consumo. Saturne no suele publicar brechas sin haber obtenido los datos realmente.
  • Fecha de publicacion: 25 de junio de 2026, primer aviso detectado en foros de hacking.
  • Objetivo: leroymerlin.es, la web oficial de Leroy Merlin para el mercado espanol. La informacion extraida corresponderia a junio de 2026, lo que indica un ataque reciente, no la reutilizacion de datos de brechas anteriores.
  • Volumen: 54.723 registros de clientes. El paquete se publico de forma gratuita, no a la venta.
  • Datos expuestos segun el grupo atacante: nombres y apellidos completos, datos de contacto (correo electronico y telefono), direcciones fisicas de envio, historial y detalles de facturacion, codigos de tarjeta de fidelizacion del club Leroy Merlin, y numero de DNI espanol. Este ultimo dato es el elemento de mayor gravedad: el DNI es un identificador personal no alterable que habilita la suplantacion de identidad en tramites administrativos, financieros y digitales.
  • Datos no expuestos: datos bancarios (numeros de tarjeta de credito, IBAN), contrasenas de acceso a cuentas de usuario. Leroy Merlin gestiona la informacion financiera en entornos tecnicos separados, alineados con PCI DSS, lo que limito el alcance directo del ataque sobre transacciones economicas.
  • Estado de verificacion: el incidente esta pendiente de verificacion forense por parte de Leroy Merlin. La compania no ha emitido comunicado oficial sobre este ataque especifico. Escudo Digital senala que no esta claro si guarda relacion con la brecha de diciembre de 2025 o es un compromiso completamente distinto.
  • Indice de gravedad ESIX: 4,86 sobre 5, lo que exige respuesta inmediata de contencion segun los criterios de la firma.
  • Antecedente: en diciembre de 2025, Leroy Merlin reconocio publicamente un ciberataque en Francia que expuso datos de contacto e informacion del programa de fidelizacion de clientes. La compania notificlo a la CNIL francesa y presento denuncia. Las investigaciones de aquel incidente siguen en curso.

Por que el sector retail con programas de fidelizacion es un objetivo prioritario

Leroy Merlin no es un caso aislado en el panorama del cibercrimen dirigido al retail. En los ultimos doce meses, el blog de Apolo ha documentado ataques similares contra Ahorramarias (ransomware Qilin, mayo 2026), Inditex (brecha via proveedor externo), y multiples cadenas europeas de gran consumo. Cuatro factores hacen del retail con programas de fidelizacion un objetivo de primer orden:

  1. Las bases de datos de fidelizacion son un activo de alto valor para el cibercrimen. Un programa de tarjeta de fidelizacion como el de Leroy Merlin concentra exactamente el tipo de informacion que los grupos de cibercrimen buscan: nombre completo, correo electronico, telefono, direccion fisica y, en el caso espanol, DNI. Es un perfil de cliente complete que permite campanas de phishing hiperesegmentadas y, con el DNI incluido, intentos de suplantacion de identidad en servicios financieros y administrativos.
  2. El DNI es el dato mas valioso de la filtracion. A diferencia del correo electronico o el numero de telefono, que pueden cambiarse, el numero de DNI espanol es permanente e inalterable. Con nombre completo, DNI, direccion y correo electronico, un atacante puede intentar contratar servicios financieros a nombre de la victima, acceder a tramites de la administracion publica, o crear credenciales falsas en plataformas que usan el DNI como identificador de verificacion.
  3. La arquitectura de ecommerce de gran consumo es una superficie de ataque amplia. Las plataformas de ecommerce de una cadena del tamano de Leroy Merlin tienen multiples puntos de integracion: CRM, sistemas de gestion de pedidos, plataformas de logistica, proveedores de pago, herramientas de marketing digital y APIs de terceros. Cada integracion es un vector potencial de compromiso. El ataque de diciembre de 2025 a Leroy Merlin Francia se origino en un proveedor externo, no directamente en los sistemas de la compania.
  4. El volumen de datos acumulado hace que el impacto de una brecha sea masivo. Leroy Merlin tiene mas de 100 tiendas en Espana y millones de clientes registrados en su programa de fidelizacion. Incluso una brecha que afecte a una fraccion pequena de esa base de datos (54.723 registros es el 0,x% del total estimado de clientes) genera un impacto regulatorio y reputacional significativo por el tipo de datos expuestos, no por el volumen.

Como se producen este tipo de ataques contra plataformas de ecommerce

Sin confirmacion forense publica del vector especifico en este caso, el modus operandi documentado en brechas similares del sector retail en 2026 sigue estos patrones:

  1. Explotacion de vulnerabilidades en el stack de ecommerce o sus integraciones. Las plataformas de ecommerce de gran consumo suelen usar combinaciones de software propio, plataformas SaaS y multiples integraciones de terceros (CRM, marketing automation, logistica). Una vulnerabilidad en cualquier capa del stack, especialmente en integraciones menos auditadas, puede abrir el acceso a la base de datos de clientes.
  2. Acceso via proveedor externo (ataque de cadena de suministro). El antecedente de diciembre de 2025 en Leroy Merlin Francia fue originado por un proveedor tecnologico externo. Los ataques de cadena de suministro que documentamos en el blog de Apolo a lo largo de junio (Claude Code GitHub Action, Cordyceps, ShinyHunters via Salesforce) confirman que este vector es sistematico en 2026.
  3. Exfiltracion y publicacion en foros. Una vez obtenida la base de datos, el grupo Saturne opta por la publicacion gratuita en lugar de la venta. Esto puede responder a diferentes motivaciones: desacreditar a la empresa, senalar la brecha como aviso para negociar en privado, o simplemente demostrar capacidad tecnica. El efecto practico es identico: los datos estan disponibles publicamente para cualquier actor que quiera explotarlos.

Lecciones clave para empresas y directivos

Independientemente de la verificacion forense final, el incidente de Leroy Merlin Espana tiene implicaciones directas para cualquier empresa que gestione datos personales de clientes en Espana:

  • El DNI en bases de datos de clientes exige proteccion de primer nivel. Muchas empresas recogen el DNI de sus clientes para facturacion, tramites de garantia o acceso a beneficios del programa de fidelizacion. Esos datos deben estar cifrados en reposo, con acceso auditado y revisado periodicamente, y con una politica de retencion minima: si el DNI no es necesario para la operativa actual, debe eliminarse.
  • La obligacion de notificacion a la AEPD no es opcional. El RGPD y la LOPDGDD obligan a notificar brechas de datos personales a la Agencia Espanola de Proteccion de Datos en un plazo maximo de 72 horas desde que la organizacion tiene conocimiento del incidente. Cuando la brecha afecta a datos especialmente sensibles como el DNI, la notificacion puede ser obligatoria tambien para los propios afectados. El incumplimiento de estos plazos puede derivar en sanciones administrativas independientes del incidente original.
  • La verificacion forense no puede tardar dias. Que el incidente este calificado como pendiente de verificacion 24 horas despues de su publicacion publica es una senal de que los procesos de respuesta a incidentes necesitan acelerarse. Cuando los datos de 54.000 clientes estan disponibles publicamente en foros de hacking, el plazo de verificacion forense se mide en horas, no en dias.
  • Los programas de fidelizacion requieren una auditoria de datos especifica. El tipo de datos concentrado en un programa de fidelizacion (nombre, DNI, correo, telefono, direccion, historial de compras) crea un perfil de cliente que supera en valor y riesgo a la suma de sus partes. Muchas empresas no auditan la seguridad de sus sistemas CRM y plataformas de fidelizacion con el mismo rigor con el que auditan los sistemas de pago, pese a que el impacto regulatorio y reputacional de una brecha puede ser comparable.

La ciberseguridad como prioridad estrategica

Leroy Merlin se convierte en el segundo gran retailer de bricolaje con presencia en Espana afectado por una brecha de datos en 2026, siguiendo el patron documentado por el blog de Apolo este mes: ataques sistematicos a empresas del sector gran consumo con bases de datos masivas de clientes. Ahorramarias en mayo, Leroy Merlin ahora. El patron comun es el mismo que el DBIR 2026 confirma para toda la industria: los datos del cliente son el activo mas valioso del cibercrimen en 2026, y las plataformas de fidelizacion y ecommerce son el repositorio donde esos datos se concentran con menor proteccion relativa que los sistemas financieros. Para los responsables de seguridad y los directores generales de empresas de retail con programas de fidelizacion en Espana, la pregunta de hoy es directa: ¿sabes exactamente que datos personales almacenas de tus clientes, donde estan, quien tiene acceso a ellos, y cuanto tardarias en detectar y notificar una brecha como la de Leroy Merlin?

Apolo Cybersecurity: evaluacion de la seguridad de plataformas de ecommerce y datos de fidelizacion

En Apolo Cybersecurity ayudamos a empresas de retail y ecommerce a evaluar y reforzar la proteccion de sus bases de datos de clientes: auditoria de seguridad de plataformas de ecommerce y sistemas CRM, revision de la politica de recogida y retencion de datos personales sensibles (DNI, direcciones, historial de compras), analisis del cumplimiento con los plazos de notificacion del RGPD y la LOPDGDD ante brechas, evaluacion de la seguridad de las integraciones de terceros (cadena de suministro digital), y diseno del protocolo de respuesta a incidentes para que el tiempo de verificacion forense se mida en horas.

Si tu empresa tiene un programa de fidelizacion con datos de DNI de clientes espanoles y no tienes claro cuanto tardarias en detectar y notificar una brecha como la de Leroy Merlin, este lunes es el momento de evaluarlo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity