Rituals, la cadena de cosmética holandesa con más de 1.500 tiendas en 33 países, ha confirmado una brecha de seguridad que ha comprometido datos personales de miembros de su programa de fidelización MyRituals. La empresa ha empezado a notificar a los clientes afectados que nombres completos, direcciones postales, números de teléfono, direcciones de correo electrónico, fechas de nacimiento y género han sido descargados ilegalmente. Rituals afirma que no se han visto comprometidas contraseñas ni datos de pago, pero se niega a precisar cuántos de sus 41 millones de miembros están afectados, citando «razones de seguridad» sin especificar. TechCrunch, RetailDetail, DutchNews y múltiples medios europeos cubren la noticia este 22 de abril.
«Hemos determinado que algunos de los datos de nuestros miembros han sido descargados de forma ilegítima», indica Rituals en el correo enviado a los clientes afectados y en avisos publicados en sus páginas web en Países Bajos, Bélgica, Reino Unido, Francia y Alemania. La compañía dice haber tomado medidas «inmediatamente tras el descubrimiento» y haber bloqueado el acceso. La brecha ha sido reportada a la Autoriteit Persoonsgegevens (AP), el regulador de privacidad neerlandés, cumpliendo con la obligación del RGPD. También incluía información adicional como tipo de cuenta y tienda preferida del usuario.
Rituals no ha descrito la naturaleza del ciberataque. Tampoco ha confirmado si ha recibido comunicación de los atacantes, si hay demanda de rescate, o cuál es la cronología exacta del incidente. Un portavoz ha declinado dar cualquier precisión adicional. La cadena es la última en una ola larga de brechas en comercio minorista que durante el último año ha afectado a Co-op y Marks & Spencer en Reino Unido, y que se une a otras brechas recientes como la confirmada por Booking.com hace dos semanas, que dejó datos de reservas expuestos. Los datos de membresía son objetivo atractivo para grupos que roban información y luego extorsionan a la empresa a cambio de no publicarla.
El contexto holandés agrava la situación. Rituals es la cuarta gran brecha confirmada en tres meses en compañías que operan en Países Bajos. En febrero, la operadora Odido confirmó un hack que afectaba a 6,2 millones de clientes actuales y antiguos; los datos acabaron publicados en la dark web tras negarse la compañía a pagar un rescate de un millón de euros, y esta semana se ha lanzado una acción colectiva contra la operadora. A inicios de abril, Booking.com reconoció acceso no autorizado a datos de reservas de clientes. Y la cadena de gimnasios Basic-Fit confirmó que hackers habían robado datos de unos 200.000 miembros neerlandeses y hasta un millón europeos.
Para Rituals, el daño reputacional es el principal riesgo inmediato. La empresa, fundada en Ámsterdam en 2000, reportó una facturación de 2.400 millones de euros en 2025, y su valor de marca depende en gran parte de la confianza del consumidor. La cadena ya había sufrido problemas reiterados durante el último año con estafadores que suplantaban la marca en correos de «regalos de cumpleaños». Rituals asegura que esos incidentes previos no guardan relación con la brecha actual, aunque las víctimas están bien entrenadas ahora para desconfiar de cualquier correo que diga venir de la marca. Los hackers que roban estos datos suelen usarlos exactamente para lanzar campañas de phishing mucho más creíbles.
Mi valoración: las tres respuestas que Rituals no ha dado son las importantes. Primero, cuántos clientes están afectados: cuando una empresa tiene 41 millones de miembros en su base y no puede (o no quiere) dar una cifra, la interpretación razonable es que la brecha es relevante. Segundo, cómo ocurrió: sin esa información, los clientes no pueden evaluar si el problema es sistemático o puntual. Tercero, si hay un actor detrás pidiendo rescate. La frase «razones de seguridad» como justificación para la opacidad es la misma que han usado casi todas las empresas en brechas similares de los últimos años, y es insuficiente: el RGPD exige comunicación sustantiva al regulador, y los usuarios afectados tienen derecho a entender el impacto. Lo que sí podemos decir es que esta brecha encaja en un patrón claro: los retailers con programas de fidelización masivos son objetivos prioritarios porque acumulan datos personales de alto valor para phishing y estafas dirigidas. Si tienes una cuenta MyRituals, cambiar la contraseña es insuficiente (no fue comprometida) pero activar verificación en dos pasos donde sea posible sí es útil. Y durante las próximas semanas, cualquier correo, SMS o mensaje de WhatsApp que parezca venir de Rituals debe ser asumido como potencial intento de estafa hasta que se pruebe lo contrario: los datos robados permiten mensajes mucho más creíbles de lo habitual. Las huellas digitales y los datos personales bien curados son el combustible perfecto para ingeniería social, y las empresas que los acumulan tienen una responsabilidad directa en cómo los protegen.
Preguntas frecuentes
¿Qué datos se han filtrado? Nombres completos, direcciones postales, direcciones de email, números de teléfono, fechas de nacimiento, género, tipo de cuenta y tienda preferida. No se han comprometido contraseñas ni datos de pago, según Rituals. ¿Cuántos clientes están afectados? Rituals se niega a revelar el número exacto, alegando «razones de seguridad». La base total de miembros de MyRituals supera los 41 millones en 33 países. ¿Qué debo hacer si soy cliente? Desconfía de cualquier correo, SMS o mensaje que parezca venir de Rituals durante las próximas semanas (los datos robados permiten phishing dirigido muy creíble). Si usabas tu contraseña de Rituals en otras webs, cámbiala en todas. Activa verificación en dos pasos donde sea posible.