Rombo
Rombo con líneas discontinuas de color oscuro

Filtración de datos en PcComponentes: qué sabemos y cómo actuar

Ilustración sobre filtración de datos en PcComponentes con candado y carrito

Qué ha pasado realmente: cronología, fuentes y postura oficial

Durante enero de 2026 circularon mensajes sobre una posible filtración masiva en PcComponentes con hasta 16,3 millones de usuarios implicados. Algunos medios y cuentas de ciberseguridad hablaron de muestras de datos publicadas en foros, mientras que la empresa negó un acceso a sus bases de datos y apuntó a accesos no autorizados por reutilización de contraseñas (credential stuffing).

"La cifra de 16 millones de clientes supuestamente afectados es falsa… el número de cuentas activas es marcadamente inferior." — Xataka

Fuente: Xataka

"PcComponentes niega que haya sufrido una brecha de datos” y habla de accesos por credential stuffing." — ChannelPartner

Fuente: ChannelPartner

"Tokens de pago sin valor fuera de su entorno; no permiten ver datos financieros ni hacer cargos." — CyberSecurity News

En paralelo, fuentes recopilaron las afirmaciones del atacante y las muestras (500.000 líneas, según algunos reportes), lo que elevó la alerta pública. PcComponentes comunicó medidas de mitigación (CAPTCHA, invalidador de sesiones, verificación adicional) mientras insistía en que no hubo intrusión a su BD interna.

¿Se han filtrado nuestros datos? Señales a revisar y comprobaciones rápidas

Antes de alarmarnos, conviene hacer comprobaciones sencillas:

  • Revisamos en nuestro perfil si hay inicios de sesión o pedidos que no reconocemos.
  • Buscamos correos de “recuperación de contraseña” que no solicitamos.
  • Miramos si empezamos a recibir phishing que use datos personales (nombre/dirección) con llamadas a “urgencia”.
  • Comprobamos si nuestra contraseña estaba reutilizada en otros servicios (si sí, la cambiamos en todos)

"No hay constancia de brecha; algunos accesos pueden deberse a contraseñas reutilizadas." — ChannelPartner

Fuente: ChannelPartner

Credential stuffing explicado en 2 minutos (y por qué nos afecta)

El credential stuffing ocurre cuando atacantes prueban combinaciones de email/contraseña filtradas en otras plataformas para ver si “abren” en un sitio distinto. Si reutilizamos claves, somos objetivo fácil. Esa es la hipótesis que PcComponentes ha destacado: no una intrusión a su BD, sino accesos puntuales a cuentas con credenciales expuestas en brechas previas y reutilizadas.

 

Cómo se mitiga:

  • Contraseñas únicas y robustas (gestor de contraseñas).
  • 2FA activo siempre que esté disponible.
  • Evitar iniciar sesión desde correos o anuncios: escribimos la URL manualmente.

Guía express: cambiar contraseña, activar 2FA y revisar sesiones

Así lo hicimos nosotros, paso a paso:

  1. Accedimos escribiendo pccomponentes.com directamente en el navegador.
  2. Cambiamos la contraseña por una única y larga (gestor de contraseñas).
  3. Activamos la verificación en dos pasos (2FA) allí donde aún no estaba activa.
  4. Cerramos sesiones abiertas en otros dispositivos.
  5. Revisamos pedidos y direcciones guardadas.
  6. Activamos alertas de inicio de sesión/compra (si la plataforma las ofrece).

"Ni datos bancarios ni contraseñas en texto claro; la empresa apunta a accesos por credenciales reutilizadas." — Xataka

Fuente: Xataka

Datos bancarios, tokens y contraseñas: qué dice la empresa y qué significa

La comunicación pública recalca que no se almacenan datos bancarios con los que se pueda operar, y que los tokens de pago fuera del entorno no sirven para efectuar cargos. Además, las contraseñas se guardan con hash, por lo que no estarían en texto plano. Esto no elimina el riesgo de phishing o suplantación, pero reduce el de fraude directo por tarjeta desde la plataforma.

"El sistema solo conserva tokens de seguridad… no permiten visualizar datos financieros ni realizar cargos." — CyberSecurity News

Nuestra experiencia como clientes: las 5 acciones que hicimos en 15 minutos

Nos enteramos por redes y medios, sin haber recibido un correo inicial. Entramos a la web escribiendo la URL para evitar phishing, cambiamos la contraseña, verificamos que no estuviera reutilizada y activamos 2FA donde faltaba. No vimos cargos ni accesos raros, pero la situación nos recordó por qué conviene no repetir claves y reforzar seguridad incluso en tiendas online grandes.

Cómo detectar phishing y estafas tras un incidente mediático

  • Desconfiamos de correos que piden urgencia (“tu cuenta será bloqueada hoy”).
  • No pinchamos enlaces: vamos directos al sitio.
  • Comprobamos el dominio exacto y el certificado.
  • Si un correo pide “volver a pagar” un pedido, lo verificamos desde nuestro historial.
  • Reportamos correos sospechosos al soporte del servicio.

"La alerta pública puede disparar intentos de phishing; revisa tu contraseña de inmediato." — Hipertextual

Fuente: Hipertextual

Preguntas frecuentes (FAQs)

¿Hubo una brecha interna confirmada?

La postura oficial es que no hubo acceso a su base de datos y que los casos detectados se deben a credenciales reutilizadas.

¿Qué datos se mencionaron en foros y reportes?

Algunas fuentes hablaron de DNI, pedidos, direcciones, IP y metadatos de tarjetas en muestras publicadas, aunque PcComponentes lo niega y recalca que los tokens de pago no permiten cargos.

¿Qué hacemos si creemos que estamos afectados?

Cambiar contraseña única, activar 2FA, cerrar sesiones, y vigilar phishing. Si vemos cargos, acudir al banco y considerar denuncia ante AEPD si procede.

¿Por qué algunos medios hablan de “16,3 millones”?

Es una cifra difundida por terceros (foros/cuentas de seguridad). La empresa afirma que el número de cuentas activas es “marcadamente inferior”.

¿Se filtraron contraseñas o datos bancarios en claro?

La empresa sostiene que no: las contraseñas se almacenan con hash y no guarda datos de tarjeta operativos.

Conclusión

En incidentes con ruido mediático, la mejor defensa es higiene de contraseñas y 2FA. Aunque PcComponentes niega un hackeo masivo de su BD, nuestra seguridad depende de no reutilizar claves, revisar actividad y desconfiar del phishing. Con una intervención de 15 minutos, reducimos drásticamente el riesgo.

¿Quieres reforzar tu web con medidas anti-credential stuffing, WAF y 2FA para tus usuarios?

En Bitralix te ayudamos a endurecer tu hosting con reglas inteligentes, cortafuegos perimetral y monitorización 24/7.

Refuerza tu hosting contra filtraciones con Bitralix
Comparte este artículo
*
*
¿No tienes cuentas? Regístrate ahora
No te pierdas nuestros próximos contenidos

Cada semana compartimos artículos, casos reales, recomendaciones y recursos para ayudarte a optimizar tu infraestructura tecnológica, mejorar la seguridad y tomar mejores decisiones IT.

Déjanos tu correo y te avisaremos cuando publiquemos nuevo contenido.