El infame colectivo de hackers afirma haber vulnerado la Extranet de la marca, exponiendo datos de proveedores y minoristas. Adidas confirma el incidente, pero señala a un socio externo como el eslabón débil.
La seguridad en la cadena de suministro vuelve a estar bajo escrutinio. Hoy 19 de febrero de 2026, que el gigante alemán de la ropa deportiva Adidas ha iniciado una investigación formal tras las alarmantes afirmaciones del grupo de amenazas informáticas conocido como “LAPSUS-GROUP”.
El pasado 16 de febrero, el grupo de hackers (supuestamente vinculado al famoso colectivo Scattered Lapsus$ Hunters, expertos en intrusiones basadas en ingeniería social) publicó en un foro de la Dark Web (BreachForums) que habían logrado penetrar en la Extranet de Adidas. Este portal web restringido es el sistema nervioso central utilizado por socios comerciales autorizados, proveedores y minoristas de la marca para interactuar corporativamente.
El Botín: Datos Técnicos y Personales
Los ciberdelincuentes afirman haber exfiltrado un conjunto de datos masivo que contiene aproximadamente 815,000 filas de información. Según las muestras publicadas por los atacantes, la base de datos robada incluye:
- Nombres y apellidos.
- Direcciones de correo electrónico.
- Contraseñas (no se ha especificado el nivel de cifrado).
- Fechas de nacimiento.
- Información corporativa de los socios.
- Una vasta cantidad de lo que el actor de amenazas describió como “muchos datos técnicos”.
Para empeorar las cosas, el grupo ha dejado un mensaje amenazante afirmando que “algo más grande está por venir”, asegurando que poseen alrededor de 420 GB adicionales de datos de Adidas vinculados específicamente al mercado francés.
La Respuesta de Adidas: “No fuimos nosotros, fue nuestro socio”
En declaraciones oficiales a la prensa, un portavoz de Adidas confirmó el incidente, pero trazó una línea clara de separación tecnológica:
“Se nos ha informado de un posible incidente de protección de datos en uno de nuestros socios independientes de licencias y distribuidor de productos de artes marciales. Esta es una empresa independiente con sus propios sistemas de TI”.
La compañía enfatizó que actualmente no hay indicios de que la infraestructura interna de TI de Adidas, sus plataformas de comercio electrónico directas o los datos de sus consumidores minoristas directos hayan sido comprometidos.
Un Patrón Preocupante
Este no es el primer tropiezo de terceros para la marca. El incidente se produce menos de un año después de otra brecha revelada en mayo de 2025, donde una parte no autorizada vulneró a un proveedor de servicio al cliente (Helpdesk) utilizado por Adidas, exponiendo los datos de contacto de los clientes que habían solicitado soporte.
La lección para el mundo corporativo
La recurrencia de estos incidentes subraya una dura realidad en la ciberseguridad moderna: el perímetro de tu empresa ya no termina en tus propios servidores. Termina en el socio comercial con la seguridad más débil. Los expertos recalcan la urgencia de aplicar políticas de Privilegio Mínimo (Zero Trust) y exigir la Autenticación Multifactor (MFA) de manera obligatoria para cualquier proveedor externo que tenga acceso a portales corporativos.
