Filtración de datos en extranet de Adidas: investiga un incidente en un partner externo
Adidas ha confirmado que está investigando una Filtración de datos en extranet de Adidas tras un presunto compromiso de seguridad vinculado a un tercero. La compañía sostiene que el posible incidente se habría producido en un partner independiente de licencias y distribución, con sistemas IT propios, un matiz clave en un contexto donde la cadena de suministro digital se ha convertido en uno de los principales vectores de riesgo para grandes marcas.
Un portavoz de Adidas indicó que se trata de un “potencial data protection incident” en “uno de nuestros independent licensing partners y distributor para productos de artes marciales”, y subrayó que es “una compañía independiente con su propia infraestructura IT”. La empresa no detalló cuándo habría ocurrido el compromiso ni qué datos se habrían extraído.
Según la misma declaración, por ahora “no hay indicios” de que la infraestructura IT de Adidas, sus plataformas de e-commerce o los datos de consumidores de la marca se hayan visto afectados por el incidente. Esta precisión es relevante: en muchas intrusiones de terceros, el impacto real depende de si existían integraciones, accesos federados, conectividad persistente o intercambio de datos entre el proveedor y el entorno corporativo.
Filtración de datos en extranet de Adidas: qué se ha publicado
Las acusaciones se hicieron públicas el 16 de febrero, cuando un actor que afirmó pertenecer a Lapsus$ publicó en BreachForums que habían comprometido la extranet de Adidas. De acuerdo con lo difundido en esa publicación (replicada mediante capturas por sitios de monitorización), el conjunto filtrado contendría unas 815.000 filas con datos como nombre y apellidos, direcciones de email, contraseñas, fechas de nacimiento, nombres de empresa y “gran cantidad de datos técnicos”. Adidas, por el momento, no ha confirmado esas cifras ni el alcance del supuesto dataset.
De confirmarse la exposición de credenciales (especialmente contraseñas reutilizadas o sin hashing robusto), el riesgo inmediato suele trasladarse a campañas de credential stuffing, Business Email Compromise (BEC) y suplantación de identidad en servicios conectados al email corporativo.
Contexto: los incidentes de terceros vuelven a golpear a grandes marcas
Este episodio se produce después de otro incidente de seguridad de terceros que afectó a Adidas en mayo de 2025, cuando la compañía notificó a clientes que parte de su información había sido robada desde un proveedor externo de atención al cliente. El patrón refuerza una tendencia del sector: los atacantes priorizan proveedores y partners con controles desiguales, buscando escalar desde entornos periféricos hacia activos de alto valor o extraer datos con impacto reputacional.
Quién es Lapsus$ y por qué importa en este caso
Lapsus$ ganó notoriedad durante 2021 y 2022 por intrusiones y extorsiones contra organizaciones como Nvidia, Microsoft, Samsung, Vodafone, Revolut y Okta. Las investigaciones y reportes históricos atribuyen al grupo tácticas como social engineering por teléfono, SIM swapping y obtención de credenciales y códigos MFA, en algunos casos mediante incentivos a empleados o contratistas. Aunque el estado operativo exacto del grupo ha variado con el tiempo, su “marca” ha seguido apareciendo asociada a filtraciones y reclamos de acceso no autorizado.
En 2025 también se reportó una supuesta colaboración o “collective” con actores como Scattered Spider y ShinyHunters, lo que incrementa el ruido operativo en torno a campañas de extorsión y data leak: más actores, más infraestructura, y más probabilidad de reclamos públicos incluso antes de una validación independiente completa.
Qué se sabe y qué queda por confirmar
- Adidas confirma investigación por un posible incidente en un partner externo de licencias/distribución.
- La empresa afirma que no hay indicios de impacto en su IT, e-commerce o datos de consumidores.
- El reclamo público habla de una Filtración de datos en extranet de Adidas con 815.000 registros y posibles credenciales, pero esto no ha sido validado por Adidas.
En términos de cumplimiento, la investigación deberá aclarar si existió acceso a datos personales bajo marcos como GDPR y si aplica notificación a autoridades y afectados, especialmente si se verifican credenciales o PII expuestos.
Como referencias de alto nivel sobre mejores prácticas y marcos de respuesta ante incidentes en la cadena de suministro, pueden consultarse las guías del Cybersecurity and Infrastructure Security Agency (CISA) y el marco de gestión de riesgos del National Institute of Standards and Technology (NIST).
Mientras se completa la investigación, el foco del sector seguirá puesto en la validación del alcance real y en si la supuesta Filtración de datos en extranet de Adidas implica credenciales activas o accesos reutilizables en ecosistemas B2B, el escenario que típicamente convierte un incidente de tercero en un problema sistémico.
