La Agencia Española de Protección de Datos sanciona a la empresa porque carecía de medidas adecuadas de monitorización y alerta temprana tras un ciberataque que permitió la filtración
Regala esta noticia Añádenos en Google 22/05/2026 a las 14:13h.La alerta no llegó desde los sistemas internos de la compañía, sino desde fuera. Un mensaje del Instituto Nacional de Ciberseguridad (INCIBE) avisó a Décimas ... de que los datos de miles de clientes estaban siendo ofrecidos a la venta en internet. Para entonces, la vulnerabilidad ya había permitido la extracción masiva de información personal de usuarios de la tienda online de la cadena deportiva. La Agencia Española de Protección de Datos (AEPD) ha cerrado ahora el expediente sancionador contra Décimas, S.L. (iniciado en 2024) con una multa definitiva de 120.000 euros tras el reconocimiento de responsabilidad y el pago voluntario de la sanción.
El procedimiento se inició a raíz de dos reclamaciones ante Protección de Datos. Los denunciantes habían recibido un correo electrónico de esta cadena de deportes en el que se les comunicaba que una incidencia de seguridad había afectado a la base de datos de clientes y que determinados datos personales había quedado expuestos.
Fue la investigación posterior la que reveló la dimensión del problema. Según consta en la resolución consultada por este periódico, el ataque fue detectado dos días después, cuando INCIBE (Instituto Nacional de Ciberseguridad) notificó a la empresa la existencia de un anuncio publicado en internet en el que un usuario ofrecía los datos sustraídos.
Detección del problema
La propia resolución subraya esta circunstancia como uno de los elementos más relevantes del caso. La Agencia recalca que se tuvo conocimiento del ataque por la información proporcionada por una «entidad externa» y no por mecanismos propios de detección de la compañía. Para la AEPD, esa circunstancia «aventura la falta de medidas de seguimiento relacionadas con la detección de ataques al objeto de su rápida solución».
El ataque se produjo mediante técnicas de inyección SQL, un método que aprovecha vulnerabilidades en aplicaciones web para acceder ilícitamente a bases de datos. El informe forense incorporado al expediente, elaborado por la firma Nacata Security, concluyó que se había detectado, a través de los logs (archivos cronológicos que documentan actividades y errores dentro de un sistema informático y funcionan como una caja negra que registra qué sucedió, a qué hora y quién o qué lo provocó), una fuga de información de las bases de datos mediante técnicas de inyección de código SQL».
La auditoría describía además el origen del fallo: «La incorrecta comprobación o filtrado de las variables utilizadas en un programa que contiene, o bien genera, código SQL». Esa deficiencia permitió ejecutar consultas maliciosas y extraer información almacenada en los sistemas afectados.
Los datos comprometidos incluían nombres y apellidos, direcciones de correo electrónico, género, fechas de nacimiento y números de DNI. La empresa notificó la incidencia a 331.809 usuarios mediante correos enviados entre el 3 y el 10 de mayo de 2024. Aproximadamente el 96% de esas comunicaciones llegaron correctamente a sus destinatarios.
La Agencia pone especial énfasis en la exposición de documentos identificativos. La resolución recuerda que el DNI «permite la identificación directa e inequívoca de una persona física» y advierte de que su uso indebido implica «un elevado riesgo de suplantación de identidad, daños patrimoniales o afectación al derecho al honor».
Responsable último
Durante la investigación, Décimas explicó que el entorno afectado era gestionado por un encargado de tratamiento externo, responsable del alojamiento y mantenimiento de los servicios web. No obstante, la AEPD insiste en que la responsabilidad última sobre los datos correspondía a la cadena deportiva como responsable del tratamiento.
La resolución también cuestiona la suficiencia de las medidas de protección implantadas antes del incidente. El organismo considera acreditada «la ausencia de medidas destinadas a la alerta temprana de incidentes, así como de monitorización de vulnerabilidades». A ello suma la inexistencia de mecanismos adecuados para proteger la confidencialidad de la información, señalando expresamente la falta de cifrado de determinados datos.
Uno de los aspectos que más peso tuvo en la valoración de la Agencia fue que la vulnerabilidad pudo corregirse el mismo día en que fue detectada. El expediente recoge que tras reproducir el fallo durante la auditoría de seguridad «se parcheó satisfactoriamente con fecha 26 de abril de 2024». Para la AEPD, ese hecho evidencia que la debilidad técnica era detectable y corregible con anterioridad.
La investigación añade otro elemento que agrava la valoración del organismo regulador. Meses después de la brecha, ya en 2025, se realizaron nuevas pruebas de intrusión que continuaban detectando vulnerabilidades relevantes en el dominio utilizado por la compañía. El texto señala que el entorno «siguió adoleciendo de diversas vulnerabilidades, dos de ellas calificadas como de criticidad alta».
Inicialmente, la Agencia propuso una multa de 200.000 euros. Para fijar esa cuantía tuvo en cuenta el volumen de negocio de la empresa, el número de afectados y la naturaleza de los datos expuestos. También valoró como agravante que la actividad de la compañía implique un tratamiento continuado y masivo de información personal de clientes.
Sin embargo, la empresa se acogió a las reducciones previstas en la ley. Pese al cierre anticipado del procedimiento, la AEPD mantiene la obligación de adoptar medidas correctoras. La resolución ordena a Décimas acreditar, en un plazo máximo de seis meses, la aplicación efectiva de medidas técnicas y organizativas que garanticen la confidencialidad y seguridad de los datos personales tratados en sus sistemas.
La Agencia advierte además de que el reconocimiento de responsabilidad y el pago no eximen del cumplimiento de esas obligaciones. En caso de incumplimiento, la compañía podría enfrentarse a nuevas actuaciones sancionadoras.
comentarios Reportar un error