Lidl confirma el robo de datos de clientes tras atacar a un proveedor

Lidl ha informado a clientes de sus tiendas online en Alemania, Bélgica y Países Bajos de una filtración de datos personales causada por un ataque contra uno de sus proveedores tecnológicos. Los intrusos accedieron durante un periodo breve a un archivo separado de los sistemas principales y consiguieron extraer parte de la información almacenada.

La compañía sostiene que la plataforma de comercio electrónico no fue comprometida y descarta, con los datos disponibles, que los atacantes accedieran a contraseñas, direcciones de entrega y facturación, datos bancarios o información de pago. La exposición incluye, sin embargo, nombres, teléfonos, correos electrónicos, fechas de nacimiento y números de cliente, una combinación suficiente para preparar campañas de suplantación mucho más creíbles.

Las claves del incidente de Lidl en 20 segundos

  • El ataque afectó a un proveedor de servicios informáticos de Lidl.
  • Los intrusos accedieron a un archivo almacenado de forma separada.
  • La tienda online y las cuentas de cliente no habrían sido comprometidas.
  • Se robaron nombres, teléfonos, correos, fechas de nacimiento y números de cliente.
  • Lidl descarta la exposición de contraseñas y datos de pago.
  • Tampoco estarían afectadas las direcciones de entrega o facturación.
  • No hay por ahora pruebas concretas de que los datos hayan sido utilizados.
  • La compañía advierte de posibles intentos de phishing y suplantación de identidad.
  • El proveedor ha presentado una denuncia y contratado a especialistas forenses.
  • No se ha comunicado cuántas personas resultaron afectadas ni la identidad del proveedor.

Lidl comunicó el incidente directamente por correo electrónico a los clientes afectados y publicó avisos específicos en sus páginas de atención de Bélgica y Países Bajos. La empresa asegura que conoció el incidente al comienzo de la semana anterior y notificó el caso a las autoridades de protección de datos correspondientes.

Qué información fue robada y por qué sigue siendo relevante

La ausencia de contraseñas y tarjetas reduce el riesgo inmediato de acceso a las cuentas o de cargos fraudulentos. No convierte, sin embargo, la filtración en un incidente menor.

Los datos extraídos incluyen el tratamiento utilizado por el cliente, su nombre y apellidos, número de teléfono, dirección de correo electrónico, fecha de nacimiento y número de cliente. Lidl no ha indicado si todos los afectados tenían almacenados todos esos campos ni si el volumen robado comprende la totalidad del archivo al que accedieron los atacantes.

Dato expuestoPosible uso en un fraude
Nombre y apellidosPersonalizar mensajes y llamadas
Correo electrónicoEnviar campañas de phishing dirigidas
Número de teléfonoSMS fraudulentos o llamadas de suplantación
Fecha de nacimientoDar credibilidad a una falsa verificación
Número de clienteSimular una comunicación interna de Lidl
TratamientoAjustar el tono y la presentación del mensaje

Un correo genérico que asegura proceder de un supermercado resulta relativamente sencillo de identificar. El engaño puede ser más convincente si incluye el nombre completo, un número de cliente real y una referencia a una supuesta incidencia con la tienda online.

Los atacantes podrían intentar presentar el mensaje como una comprobación posterior a la filtración, una devolución pendiente, un problema de entrega o una actualización de la cuenta. La información robada no les permite demostrar que conocen una compra concreta, pero sí construir una comunicación que parezca más cercana a los datos que manejaría el comercio.

El propio aviso de seguridad puede convertirse en el argumento utilizado para el fraude. Una llamada podría asegurar que Lidl necesita “proteger” la cuenta después del incidente y pedir una contraseña, un código recibido por SMS o los datos de una tarjeta. La empresa ha advertido a los clientes de que comprueben la autenticidad del remitente, no compartan información y eviten abrir enlaces desconocidos.

Lidl afirma que las cuentas no fueron comprometidas y que los atacantes no obtuvieron las contraseñas. Por ese motivo, la compañía no ha indicado que sea necesario realizar un cambio obligatorio de credenciales. Aun así, cualquier cliente que reutilice la misma contraseña en varias plataformas debería corregir esa práctica, con independencia de este incidente.

Cambiar la clave de Lidl tampoco elimina el principal riesgo derivado de esta filtración. El nombre, el teléfono, el correo o la fecha de nacimiento seguirán en manos de los atacantes. La precaución deberá mantenerse más allá de los primeros días, ya que los datos pueden reutilizarse o combinarse posteriormente con información procedente de otras fugas.

Un ataque al proveedor sin entrar en la tienda online

El incidente vuelve a mostrar la diferencia entre comprometer directamente una plataforma y acceder a los datos a través de una empresa externa.

Lidl asegura que los atacantes no entraron en el sistema de la tienda online. El acceso se produjo en la infraestructura de un proveedor que conservaba un archivo separado con información de clientes. La compañía no ha identificado a esta empresa ni ha explicado qué función prestaba, dónde se almacenaba el fichero o por qué necesitaba disponer de esos datos.

La separación del archivo parece haber limitado el alcance técnico del incidente. Los intrusos no habrían podido acceder a los perfiles, modificar pedidos o consultar credenciales y métodos de pago desde la propia plataforma. Pero el caso también demuestra que aislar una copia no basta cuando esa información continúa siendo accesible desde otro entorno.

Las empresas de comercio electrónico suelen depender de proveedores para atención al cliente, logística, marketing, comunicaciones, analítica, alojamiento o gestión de incidencias. Cada integración amplía el número de sistemas y organizaciones que pueden procesar información personal.

La seguridad de la tienda principal puede ser alta y, aun así, producirse una filtración a través de una copia exportada, una aplicación auxiliar o una cuenta externa. La protección debe abarcar todo el recorrido de los datos: qué información sale de la plataforma, quién la recibe, durante cuánto tiempo se conserva y cómo se elimina cuando deja de ser necesaria.

Lidl se ha limitado a señalar que el proveedor actuó inmediatamente para volver a asegurar los sistemas afectados. También presentó una denuncia y recurrió a especialistas en informática forense para investigar el alcance y el impacto del ataque. No se han publicado detalles sobre la vía de entrada, el tiempo que permanecieron los intrusos dentro del entorno o si utilizaron credenciales robadas, una vulnerabilidad o una configuración incorrecta.

Tampoco se conoce el número de registros extraídos. Esta ausencia impide valorar la dimensión exacta del incidente y saber si se trata de una copia parcial, una base nacional o un conjunto utilizado por varias filiales europeas.

Qué deberían revisar ahora los clientes afectados

La recomendación principal consiste en desconfiar de comunicaciones inesperadas que utilicen a Lidl como remitente o como argumento. Un mensaje que incluya datos correctos no debe considerarse legítimo automáticamente, ya que precisamente esa información puede proceder del archivo robado.

El cliente debería acceder a la tienda escribiendo la dirección por su cuenta o utilizando la aplicación oficial, en lugar de entrar desde enlaces enviados por correo o SMS. También conviene rechazar cualquier llamada que solicite contraseñas, códigos de autenticación, datos bancarios o pagos para resolver una supuesta incidencia.

Los intentos de suplantación pueden adoptar formas menos evidentes. Un atacante podría fingir ser una empresa de reparto, un banco o un servicio de pago y utilizar la relación con Lidl como contexto. La comprobación debe realizarse siempre mediante un canal independiente de la comunicación recibida.

Lidl asegura que no ha encontrado pruebas concretas de uso indebido de la información. Esa afirmación describe la situación conocida tras la investigación inicial, pero no garantiza que los datos no se empleen más adelante.

Para Lidl y el proveedor quedan varias cuestiones pendientes: determinar el número de personas afectadas, conocer la vía de acceso, comprobar si existen otras copias expuestas y revisar qué información necesita conservar cada tercero.

La compañía ha conseguido descartar los elementos más delicados para un fraude financiero inmediato, pero los datos sustraídos mantienen valor para la ingeniería social. El problema ya no está en la disponibilidad de la tienda online, sino en la capacidad de los atacantes para utilizar información real y hacerse pasar por una organización conocida por la víctima.

Preguntas frecuentes

¿Qué datos de clientes de Lidl fueron robados?
Tratamiento, nombre y apellidos, teléfono, correo electrónico, fecha de nacimiento y número de cliente.

¿Se filtraron las contraseñas o los datos bancarios?
Lidl afirma que puede descartar la exposición de contraseñas, direcciones, información bancaria y otros datos de pago.

¿Fueron comprometidas las cuentas de la tienda online?
La empresa asegura que no. El acceso se produjo en un archivo separado alojado en los sistemas de un proveedor tecnológico.

¿Qué deben hacer los clientes afectados?
Deben extremar la precaución ante correos, SMS o llamadas inesperadas, evitar enlaces desconocidos y no entregar contraseñas, códigos o información financiera.

Fuentes:

  • Lidl Bélgica, comunicación oficial a clientes sobre el incidente de seguridad. (customerservice.lidl.be)
  • Lidl Países Bajos, aviso oficial sobre la exposición de datos. (service.lidl.nl)
  • BleepingComputer, confirmación del incidente y respuesta de Lidl, 13/07/2026. (BleepingComputer)
Scroll al inicio