Adidas ha confirmado que está investigando un posible incidente de protección de datos en una de sus empresas asociadas independientes, después de que delincuentes digitales aseguraran haber robado información y datos técnicos vinculados a la multinacional alemana.
Según un portavoz de la compañía, el incidente afectaría a un socio independiente de licencias y distribución de productos de artes marciales, una entidad con sus propios sistemas informáticos. Adidas subrayó que no hay indicios de que su infraestructura tecnológica, sus plataformas de comercio electrónico o los datos de consumidores se hayan visto comprometidos.
La empresa no ha detallado cuándo se produjo la supuesta intrusión ni qué información concreta pudo verse afectada, limitándose
Las acusaciones: 815.000 registros y datos técnicos
Las sospechas surgieron el 16 de febrero, cuando un usuario que afirmaba pertenecer al Lapsus$ Group publicó en BreachForums que habían comprometido la extranet de Adidas. De acuerdo con esa publicación, los archivos sustraídos contendrían 815.000 filas de información que incluirían datos personales como nombres y apellidos, direcciones de correo electrónico, contraseñas, fechas de nacimiento y nombres de empresas, además de lo que los atacantes describen como una gran cantidad de información técnica.
Por el momento, no existe confirmación independiente que permita verificar la autenticidad ni el alcance real de estas afirmaciones.
Este supuesto ataque recuerda a un incidente previo en 2025, cuando Adidas notificó a clientes que parte de su información había sido sustraída tras un acceso no autorizado a un proveedor externo de atención al cliente. En ambos casos, la compañía sostiene que el origen del problema estaría fuera de sus sistemas centrales, una situación cada vez más frecuente en ataques que explotan riesgos en la cadena de suministro digital.
Lapsus$: un grupo con historial de alto perfil
El nombre de Lapsus$ no es nuevo en el panorama del cibercrimen. El grupo ganó notoriedad internacional entre 2021 y 2022 tras una serie de ataques contra grandes empresas tecnológicas y de telecomunicaciones. A diferencia de otras bandas más estructuradas, Lapsus$ se caracterizó por un enfoque poco convencional, basado en ingeniería social, SIM swapping y la captación de empleados internos para obtener credenciales válidas y códigos de autenticación multifactor.
En marzo de 2022, las autoridades británicas arrestaron a siete jóvenes de entre 16 y 21 años por su presunta implicación en estas actividades. Aunque algunos quedaron en libertad, dos de ellos fueron posteriormente re-arrestados y acusados formalmente, lo que evidenció tanto la juventud de algunos de sus miembros como la dificultad de desarticular por completo este tipo de redes.
Más recientemente, en agosto de 2025, individuos vinculados al grupo se habrían integrado en un colectivo criminal más amplio junto a Scattered Spider y ShinyHunters, operando bajo el nombre Scattered Lapsus$ Hunters. En octubre de 2025, esta alianza afirmó haber incluido a Adidas en su sitio de filtraciones y aseguró haber robado más de 20 millones de registros sensibles, supuestamente obtenidos en febrero de 2024, una afirmación que tampoco fue confirmada de forma independiente.
Investigación en curso
Adidas insiste en que sus sistemas y clientes no se han visto afectados hasta el momento. No obstante, la investigación continúa y el caso vuelve a poner de relieve la dependencia de grandes marcas de terceros y el papel de estos socios como uno de los vectores de ataque más explotados por los grupos de cibercrimen actuales.
Más allá del caso concreto, el episodio vuelve a poner el foco en la gestión del riesgo de terceros, un aspecto crítico de la ciberseguridad moderna. Para las grandes marcas globales, proteger únicamente sus propios sistemas ya no es suficiente: la seguridad depende cada vez más del nivel de madurez de proveedores, socios y licenciatarios, cuyos fallos pueden convertirse en la puerta de entrada para actores criminales cada vez más organizados y persistentes.
