El gigante neerlandés de la cosmética Rituals ha confirmado una brecha de datos que afecta a su programa de fidelidad My Rituals, con atacantes que obtuvieron acceso no autorizado a los datos personales de sus 41 millones de miembros. La brecha fue descubierta en abril de 2026 y divulgada públicamente el 23 de abril.
La brecha de datos Rituals: qué ocurrió
Rituals, la marca de cosmética con sede en Ámsterdam y más de 1.400 boutiques en 33 países, detectó una descarga no autorizada de su base de datos de miembros. El programa My Rituals ofrece recompensas exclusivas y descuentos personalizados, almacenando para ello importantes datos personales. La empresa ha iniciado una investigación forense, bloqueado el acceso de los atacantes y notificado a las autoridades competentes. Ningún grupo cibercriminal ha reclamado la responsabilidad y Rituals no ha encontrado evidencias de que los datos robados hayan sido publicados en línea.
Qué datos personales fueron robados
Según la divulgación oficial de Rituals, los atacantes accedieron a la siguiente información de clientes:
- Nombre completo
- Dirección de correo electrónico
- Número de teléfono
- Fecha de nacimiento
- Género
- Dirección postal
- Tienda preferida y tipo de cuenta
La brecha afectó principalmente a miembros de Europa y el Reino Unido. Los clientes afectados fueron notificados directamente por correo electrónico.
Las contraseñas y datos de pago no están expuestos
Rituals confirmó que las contraseñas de cuenta y los datos de tarjeta bancaria no formaban parte de la base de datos comprometida. Sin embargo, los expertos en ciberseguridad advierten: la combinación de nombre, dirección, fecha de nacimiento y datos de contacto es más que suficiente para ataques de phishing altamente dirigidos y, en algunos casos, para robo de identidad.
Por qué las brechas de fidelidad son más peligrosas de lo que parecen
Los datos de los programas de fidelidad se subestiman frecuentemente como vector de amenaza. Con 41 millones de registros en juego, la escala potencial de ataques posteriores es considerable. Los delincuentes pueden usar estos datos para:
- Crear correos de phishing convincentes que mencionen su nombre real y estado de fidelidad
- Cometer fraude de identidad, incluyendo solicitudes fraudulentas de crédito
- Atacar a víctimas por SMS imitando comunicaciones oficiales de Rituals
- Combinar con otras filtraciones para perfiles de ingeniería social detallados
Casos como este destacan por qué los usuarios cotidianos recurren cada vez más a VPNs como capa básica de protección, especialmente al acceder a cuentas de membresía a través de Wi-Fi público.
Qué deben hacer ahora los clientes afectados
- Manténgase alerta ante correos de phishing que usen su nombre real o mencionen su membresía Rituals
- No haga clic en enlaces de correos o SMS inesperados que supuestamente provengan de Rituals
- Cambie su contraseña de Rituals como precaución, aunque las contraseñas no fueron robadas directamente
- Active la autenticación de dos factores en su cuenta de correo
- Vigile actividad inusual en cuentas vinculadas a su dirección de correo de Rituals
