[Actualizado] PcComponentes desmiente el hackeo que apuntaba al robo de datos de 16 millones de usuarios

Actualización [22/01/2026 - 14:13]: PcComponentes ha asegurado a 3DJuegos que sus expertos de ciberseguridad "siguen trabajando para mantener la seguridad de los usuarios". No se han proporcionado más detalles sobre el estado de la base de datos de la web.

Actualización [22/01/2026 - 11:25]: El hacker que afirma haber vulnerado la seguridad de PcComponentes ha aparecido nuevamente en la red para señalar que la compañía miente al decir que no ha sufrido un ciberataque en su base de datos (vía El Chapuzas Informático). "Cuando niegas una filtración de datos, tienes que estar preparado para que la verdad salga a la luz. Por desgracia para vosotros, tengo todas las pruebas. Tuve acceso a todos vuestros paneles de administrador, así como a vuestro soporte", escribe el responsable.

La publicación del hacker también incluye nuevos datos confidenciales, tales como credenciales de login para empleados e imágenes para demostrar que puede acceder a herramientas de administrador, cuenta de X y más. En 3DJuegos nos hemos puesto en contacto con PcComponentes para conocer sus acciones tras esta nueva revelación y actualizaremos la noticia en cuanto tengamos más información al respecto.

Noticia original [21/01/2026 - 15:15]: PcComponentes niega haber sufrido un ciberataque en su base de datos. Durante las últimas horas, muchos usuarios y medios de comunicación se han hecho eco de un supuesto hackeo a la compañía tecnológica que habría conducido al robo de datos de "16 millones de usuarios". Ahora, PcComponentes ha asegurado que, tras una investigación, no hay constancia de que su base de datos se haya visto comprometida.

De acuerdo con el comunicado oficial, lo que se ha detectado es un elevado número de casos de credential stuffing. Básicamente, este es el término que se usa en ciberseguridad para definir vulneraciones que suceden en otras bases de datos (aquí, ajenas a PcComponentes) y que filtran direcciones de email y contraseñas de miles de personas. Los ciberatacantes prueban estas credenciales en diferentes plataformas, dado que muchas veces los usuarios tienden a usar la misma combinación de email+contraseña en diferentes webs, con la esperanza de acceder a sus cuentas.

Tras detallar el concepto de credential stuffing, PcComponentes asegura en su mensaje que "no se ha producido un acceso ilegítimo a nuestras bases de datos ni a nuestros sistemas internos". De hecho, los rumores relativos al robo de datos de 16 millones de usuarios son falsos porque "el número de cuentas activas en PcComponentes es marcadamente inferior". Pero esto no significa que todos los usuarios de la web tecnológica estén a salvo; si bien es cierto que el ataque no es masivo porque realmente no ha vulnerado la estructura de PcComponentes, la técnica de credential stuffing ha funcionado con algunas cuentas y hay unos usuarios afectados. Según las investigaciones de PcComponentes, los únicos datos que se han visto comprometidos son nombre, apellidos, DNI (en los supuestos en los que el cliente lo haya introducido), dirección, IP, correo electrónico y teléfono.

"Los datos bancarios no se han visto comprometidos en ningún caso dado que PcComponentes no los almacena", aclara la compañía en el comunicado. "PcComponentes solo conserva un código de seguridad (token) que sirve para identificar el pago, pero que no permite ver la tarjeta ni realizar cargos por sí solo. Ese código no tiene valor fuera del sistema de pago y no puede usarse de forma fraudulenta. Por este motivo, no existe riesgo de robo de datos bancarios". Además, las contraseñas tampoco se almacenan en la base de datos de PcComponentes. "En su lugar, se convierte en un código secreto y cifrado (hash). Este código es irreversible, lo que significa que ni nosotros ni nadie más puede ver tu contraseña original".

Medidas correctivas y recomendaciones para los usuarios

A pesar de que la verdadera brecha de seguridad no se ha producido en PcComponentes, la compañía ha implementado tres medidas correctivas para evitar accesos no autorizados por parte de terceros y bots automatizados: implementación de CAPTCHA al iniciar sesión, activación obligatoria del proceso de autenticación en dos pasos (2FA) y cierre de todas las sesiones activas para forzar un nuevo login de los usuarios bajo las nuevas normas de seguridad.

Para cerrar su comunicado, PcComponentes comparte asimismo una serie de recomendaciones para que los usuarios puedan prevenir posibles casos de credential stuffing en el futuro. Para empezar, los clientes deben usar contraseñas únicas y con una seguridad sólida (largas, con letras, números y caracteres especiales) en cada sistema dado que reutilizar combinaciones "es uno de los mayores riesgos hoy en día". Además, se aconseja gestionar todos los pedidos de PcComponentes directamente desde su página web oficial y no hacer click en enlaces que lleguen por SMS, correo electrónico y otros tipos de servicios de mensajería para evitar ser víctima de phishing.

¿PcComponentes podría estar mintiendo sobre el hackeo para evitar problemas? No, porque está terminantemente prohibido. De acuerdo con las características del Reglamento General de Protección de Datos, las compañías están obligadas a emitir este tipo de comunicados ante situaciones tales como la sospecha de un ciberataque y la información compartida debe ser fidedigna. Por lo tanto, PcComponentes puede asegurar que no ha sufrido una brecha de seguridad en su propia base de datos.

En 3DJuegos | He jugado a Final Fantasy VII Remake en Switch 2 y aunque entiendo el miedo, Square Enix acaba de dar una lección maestra

En 3DJuegos | El nuevo éxito de Steam es un Papers, Please con zombis en el que tienes que decidir quién vive y quién muere