La seguridad digital de millones de deportistas en todo el mundo ha vuelto a quedar en entredicho. Under Armour acaba de confirmar que investiga una filtración masiva de datos que afecta a más de 72 millones de registros de clientes, un incidente que se originó meses atrás tras una extorsión fallida por parte del grupo de ransomware Everest.
El gigante de la ropa deportiva Under Armour se enfrenta a una de sus crisis de reputación y seguridad más graves de la última década. La compañía ha admitido estar al tanto de la publicación masiva de datos personales pertenecientes a 72,7 millones de sus clientes en foros de hacking de acceso público. Este movimiento supone la culminación de un proceso de extorsión que comenzó a finales de 2025, cuando el grupo cibercriminal Everest afirmó haber vulnerado los sistemas de la empresa y robado cientos de gigabytes de información confidencial.
La noticia, que ha empezado a circular con fuerza en las últimas horas, pone de relieve la vulnerabilidad de las grandes corporaciones ante los ataques de doble extorsión, donde los atacantes no solo bloquean sistemas, sino que roban información para chantajear a la entidad con su publicación. En este caso, tras el aparente rechazo de Under Armour a pagar el rescate exigido, los criminales han cumplido su amenaza, volcando una base de datos de proporciones masivas que ya está siendo indexada por plataformas de monitorización de seguridad como Have I Been Pwned.
A nivel editorial, este suceso no es solo un fallo técnico; es un síntoma de una era donde los datos de comportamiento y consumo son tan valiosos como los financieros. Para una marca que basa su estrategia en la personalización y la conexión directa con el deportista a través de sus plataformas digitales, que esta información acabe en manos de terceros es un golpe directo a la línea de flotación de la confianza del consumidor. No estamos hablando solo de correos electrónicos, sino de un perfilado profundo de millones de personas.
El origen del caos: del chantaje de Everest a la exposición pública
Para entender la magnitud del problema, debemos retroceder a noviembre de 2025. Fue entonces cuando el grupo Everest, una célula de ransomware con vínculos conocidos con la familia BlackByte, anunció que tenía en su poder 343 GB de datos extraídos directamente de los servidores de Under Armour. El grupo impuso un ultimátum de siete días: o la compañía pagaba una cifra no revelada, o la información se haría pública. Durante semanas, el silencio fue la tónica dominante, hasta que el volcado de datos apareció finalmente en foros especializados durante este mes de enero.
La información filtrada es alarmantemente detallada. Según los análisis preliminares de los archivos publicados, que ocupan cerca de 20 GB una vez descomprimidos, el paquete de datos contiene más de 191 millones de registros individuales. Entre la información comprometida se encuentran nombres completos, fechas de nacimiento, géneros, ubicaciones geográficas, números de teléfono y, lo que es más preocupante para la privacidad del usuario, historiales detallados de compras y preferencias de productos. Esta granularidad permite a cualquier actor malintencionado crear campañas de phishing hiperdirigidas.
Desde una perspectiva técnica, el ataque parece haber penetrado en sistemas relacionados con la gestión de relaciones con los clientes (CRM) o bases de datos de personalización de marketing. El hecho de que se incluyan metadatos sobre el comportamiento de navegación en la web de Under Armour —como los últimos productos vistos o las categorías de interés— sugiere que los atacantes tuvieron un acceso profundo y prolongado a las capas de análisis de datos de la compañía antes de ser detectados.
Un historial de seguridad que vuelve a perseguir a la marca
No es la primera vez que Under Armour protagoniza titulares por motivos de ciberseguridad. Los veteranos del sector recordarán el masivo incidente de MyFitnessPal en 2018, que afectó a 150 millones de usuarios. Aquella brecha fue un punto de inflexión que obligó a la empresa a replantearse su infraestructura digital. Sin embargo, este nuevo incidente de 2026 demuestra que, a pesar de las inversiones millonarias en protección, los vectores de ataque evolucionan a una velocidad que las estructuras corporativas tradicionales tienen dificultades para seguir.
Lo que diferencia a esta filtración de la anterior es el contexto del ransomware. Hace ocho años, el objetivo solía ser el robo de credenciales para su venta posterior. Hoy, grupos como Everest utilizan la técnica de la «exfiltración sin cifrado»: a veces ni siquiera se molestan en bloquear los equipos de la empresa, simplemente succionan los datos de la nube o de servidores mal configurados y pasan directamente a la fase de extorsión. Es una táctica más silenciosa y, a menudo, más difícil de detectar mediante herramientas tradicionales de monitorización de red.
Bajo mi punto de vista, la recurrencia de estos problemas en una misma firma plantea preguntas incómodas sobre la gobernanza de datos. ¿Por qué se conservan registros tan detallados de compras de hace años en sistemas conectados? La acumulación excesiva de datos, conocida en el sector como «data hoarding», se convierte en una responsabilidad civil masiva cuando la seguridad falla. Under Armour parece haber priorizado el análisis masivo de datos para sus campañas de ventas sobre el principio de minimización de datos que exigen normativas como el GDPR.
Consecuencias inmediatas: phishing, suplantación y riesgos legales
El impacto para los usuarios es inmediato y tangible. Con 72 millones de correos electrónicos circulando en la red, de los cuales una gran parte están vinculados a identidades reales y ubicaciones físicas, el riesgo de estafas sofisticadas se dispara. Los delincuentes pueden ahora enviar correos simulando ser el servicio técnico de Under Armour, citando compras reales que el usuario realizó recientemente, para obtener datos bancarios o contraseñas de otros servicios.
Además, el hecho de que se hayan filtrado fechas de nacimiento y direcciones físicas añade una capa de riesgo de robo de identidad. En mercados como el estadounidense, estos datos son piezas fundamentales para intentar abrir líneas de crédito o acceder a otros servicios personales. La empresa ha instado a sus usuarios a cambiar las contraseñas, pero el daño de los datos estáticos (como la fecha de nacimiento o el nombre) es permanente; esos datos no se pueden cambiar con un clic en los ajustes de la cuenta.
En el ámbito corporativo, Under Armour se enfrenta a una tormenta legal y financiera. Las autoridades de protección de datos en Europa y los distintos fiscales generales en Estados Unidos ya tienen el caso sobre la mesa. Las multas por negligencia en la protección de datos pueden alcanzar el 4% de la facturación global anual de la compañía bajo el marco europeo, una cifra que podría ser devastadora en un momento en que la marca ya lucha por mantener su cuota de mercado frente a competidores como Nike o Lululemon.
El futuro de la confianza en el ecosistema del «Connected Fitness»
Este incidente lanza una sombra de duda sobre todo el sector del fitness conectado. Si una de las marcas más potentes del mundo no puede garantizar que la talla de tus zapatillas, tu dirección de casa y tu historial de ejercicio permanezcan privados, los consumidores empezarán a cuestionar la necesidad de compartir tanta información con sus dispositivos inteligentes. La tendencia hacia un hardware cada vez más integrado con la nube se enfrenta ahora al muro de la desconfianza del usuario.
Para Under Armour, el camino hacia la recuperación será largo. La transparencia será su única arma, aunque hasta ahora su respuesta ha sido, en mi opinión, algo reactiva. Esperar a que los datos aparezcan en foros públicos para confirmar que «están al tanto» de las afirmaciones no es la mejor estrategia de comunicación de crisis. El usuario moderno exige proactividad: saber exactamente qué se robó, cuándo ocurrió y qué medidas se han tomado para que no vuelva a suceder.
A largo plazo, es probable que veamos un endurecimiento de los protocolos de acceso a datos dentro de estas compañías. La implementación de arquitecturas de «Zero Trust» (Confianza Cero) y el cifrado de datos en reposo a nivel de campo —donde ni siquiera el administrador de la base de datos puede leer la información sin la clave específica— se volverán estándares obligatorios. La lección para el resto de la industria es clara: los datos que guardas hoy pueden ser el arma que te destruya mañana si no los proteges como el activo crítico que realmente son.
Finalmente, este caso nos recuerda que en la red nadie es invulnerable. Como usuarios, la recomendación de usar gestores de contraseñas y autenticación de dos factores ya no es un consejo para entusiastas de la tecnología, sino una medida de higiene básica. Por su parte, las empresas deben entender que el coste de una ciberseguridad robusta siempre será inferior al coste de perder la confianza de 72 millones de personas en una sola mañana.