Si compras frecuentemente en Temu, puede que tus datos hayan caído en malas manos. Un actor de amenazas ha publicado un mensaje en un foro de la dark web donde se jacta de tener en su poder 310 millones de registros de usuarios de la plataforma de comercio electrónico. No es una cifra baladí, ya que supuestamente Temu tiene 416 millones de usuarios activos al mes.
En concreto, el adversario habría exfiltrado nombres completos, direcciones de email, números de teléfono, identificadores, hashes de contraseñas bcrypt, información de dispositivo (Android e iOS), detalles del paquete y versión de la aplicación, direcciones IP de registro y último inicio de sesión, configuración regional y de idiomas, información geográfica, marcas de tiempo de creación de cuenta e inicio de sesión, así como indicadores de cuenta internos y metadatos.
Para respaldar su afirmación, el vendedor ha publicado 99 registros de muestra. Desde Cybernews han podido constatar que estos tienen marcas de tiempo de creación de cuenta o inicio de sesión de 2026, lo que lleva a pensar que la información es relativamente reciente y no ha sido reciclada de brechas anteriores.
Los expertos de la página creen que los datos pueden provenir de un sistema interno de gestión de cuentas (CMS) o de un servicio de terceros que administra las cuentas de usuario de Temu.
Pese a que las contraseñas no están almacenadas en texto plano, sino como hashes bscrypt, Los investigadores alertan de que la exposición supone importantes riesgos de seguridad.
En el caso de que los actores de amenazas logren descifrar claves más débiles, estas se pueden usar en ataques de relleno de credenciales.
Por otro lado, la combinación de nombres, información de contacto, detalles del dispositivo y datos de ubicación podría explotarse fácilmente en campañas de phishing altamente dirigidas o ataques de ingeniería social.
Asimismo, los metadatos expuestos podrían ayudar a los ciberdelincuentes a suplantar la identidad de comunicaciones legítimas de Temu.
Temu niega la mayor
Un portavoz de la compañía china ha negado que los datos robados procedieran de sus sistemas. «El equipo de seguridad de Temu ha llevado a cabo una investigación exhaustiva sobre la supuesta filtración de datos y puede confirmar que las afirmaciones son categóricamente falsas; los datos que circulan no provienen de nuestros sistemas», ha trasladado al equipo de Cybernews.
«Los sistemas de Temu cuentan con la certificación del estándar de ciberseguridad Mobile Application Security Assessment (MASA), colaboramos con HackerOne para la identificación de vulnerabilidades e implementamos la autenticación de dos factores para mayor seguridad. Temu también es miembro del Grupo de Trabajo Anti-Phishing y cumple con los estándares PCI DSS para la seguridad de los pagos», ha añadido el portavoz.
Lamentablemente, no es la primera vez que la app de ecommerce asiática ve sus datos filtrados en la dark web. En 2024 otro pirata informático aseguró haber obtenido 87 millones de líneas de datos personales de usuarios de Temu, aunque la empresa mandarina también negó que se hubieran originado en sus sistemas.

