Desde la primavera de 2026, decenas de clientes de McDonald’s Francia descubren que sus puntos de fidelidad McDo+ han sido utilizados por desconocidos para realizar pedidos gratuitos. El fenómeno, documentado por varios medios especializados en ciberseguridad y ampliamente difundido en las redes sociales, no se debe a un hackeo espectacular de la base de datos de McDonald’s. El mecanismo es a la vez más banal y más difícil de contener.
Credential stuffing: la técnica detrás del robo de cuentas McDo
Las cuentas de fidelidad de McDonald’s no han sido vulneradas por una falla propia de la cadena. Según los análisis difundidos por ZATAZ en mayo de 2026, los atacantes explotan bases de datos de credenciales provenientes de filtraciones antiguas, de otros servicios en línea. Estos pares de correo electrónico/contraseña, agregados durante años, se prueban automáticamente y de manera masiva en las cuentas de McDo+.
También recomendado : Cómo distinguir las semanas pares e impares para la custodia compartida de los niños
Este método tiene un nombre: el credential stuffing. Un script automatizado prueba miles de combinaciones por minuto en la página de inicio de sesión de McDonald’s. Cada vez que un cliente reutiliza la misma contraseña en varios sitios, su cuenta se vuelve vulnerable, incluso si McDonald’s no ha sido comprometido directamente.
El testimonio de un usuario de Reddit ilustra bien la confusión que esto genera: contraseña única, generada aleatoriamente, y aun así cuenta vacía. Circulan varias hipótesis (malware en el teléfono, sesión robada, token de autenticación interceptado), pero en la mayoría de los casos documentados, la reutilización de contraseñas sigue siendo la causa principal. Los comentarios de campo divergen en este punto, ya que algunos usuarios afirman tener contraseñas únicas sin que la compromisión pueda ser explicada formalmente.
Ver también : Cómo reconocer y entender los rasgos de personalidad de las personas reservadas
Un artículo detallado aborda el robo de puntos de fidelidad McDo y las técnicas empleadas por los atacantes para apuntar a los programas de comida rápida.
Por qué los puntos de fidelidad interesan a los cibercriminales
Robar puntos McDo puede parecer insignificante en comparación con el hackeo de una cuenta bancaria. La realidad es diferente. ZATAZ ha notado desde 2024 un aumento de los ataques que apuntan específicamente a los programas de puntos, en todos los sectores: comida rápida, aerolíneas, hotelería, gran distribución.
Varias razones explican este creciente interés:
- Las cuentas de fidelidad rara vez están protegidas por autenticación de dos factores, a diferencia de las cuentas bancarias o de mensajería.
- Las víctimas a menudo tardan semanas en notar la desaparición de sus puntos, lo que deja tiempo a los defraudadores para actuar.
- Algunos grupos criminales ahora se especializan en el robo de puntos en lugar de en tarjetas bancarias clásicas, ya que el riesgo legal percibido es menor por un botín aparentemente menor.
El cambio es claro: los puntos de fidelidad se han convertido en una moneda paralela con un valor real en los mercados subterráneos.
Reventa en Telegram: la vía de monetización de las cuentas robadas
Una vez que las cuentas de McDo+ están comprometidas, los puntos no son simplemente utilizados por el hacker para comprarse un menú. ZATAZ documenta la existencia de bots de Telegram y mercados cerrados donde las cuentas de puntos se revenden a precios bajos. El comprador final realiza un pedido (a menudo a domicilio) a costa del titular legítimo de la cuenta.
Esta logística no tiene nada de artesanal. Los mismos circuitos ya se utilizaban para revender accesos robados a Netflix o Spotify. La infraestructura está afinada: catálogo de cuentas clasificadas por saldo de puntos, pago en criptomonedas, entrega casi instantánea de la cuenta al cliente fraudulento.
El problema para McDonald’s (y para las otras cadenas afectadas) es que esta economía paralela convierte cada cuenta de fidelidad en monetizable, incluso aquellas con un saldo modesto. El volumen compensa el bajo valor unitario.
Respuesta de McDonald’s Francia y límites de las medidas actuales
McDonald’s Francia ha reaccionado enviando a sus clientes un mensaje anunciando la renovación de su identificador de fidelidad y la desactivación de su tarjeta McDo+ en Apple Wallet y Android Wallet. La cadena ha indicado que está “haciendo todo lo posible para garantizar la protección de los datos y la seguridad de la cuenta McDo+”.
En la práctica, esta reinicialización obliga a los usuarios a generar una nueva tarjeta virtual. Como señalaba un usuario en TikTok, volver a crear una cuenta no es suficiente: hay que solicitar un nuevo número de tarjeta con la transferencia de los puntos restantes, de lo contrario el problema puede repetirse en el mismo identificador comprometido.
Los datos disponibles no permiten concluir sobre la magnitud exacta de la filtración. McDonald’s no ha comunicado una cifra precisa sobre el número de cuentas afectadas. Sin embargo, la multiplicación de testimonios en Reddit, TikTok y foros especializados sugiere que el fenómeno supera el incidente aislado.
Proteger su cuenta de fidelidad: lo que realmente funciona
La protección de una cuenta McDo+ se basa en algunos principios simples pero raramente aplicados:
- Utilizar una contraseña única para cada servicio, generada por un gestor de contraseñas dedicado (no solo el del navegador).
- Verificar regularmente el historial de pedidos y el saldo de puntos, para detectar cualquier actividad sospechosa antes de que la cuenta esté completamente vacía.
- Activar la autenticación de dos factores si la aplicación lo ofrece (lo que, hasta la fecha, sigue siendo limitado en la aplicación de McDonald’s Francia).
- Comprobar si su dirección de correo electrónico figura en filtraciones conocidas, a través de servicios como Have I Been Pwned.
Cambiar la contraseña después de cada filtración conocida de otro servicio es el gesto más efectivo contra el credential stuffing, ya que es precisamente la reutilización la que alimenta estos ataques. El robo de puntos McDo no es más que un síntoma de un problema más amplio: la gestión de las credenciales digitales sigue siendo el eslabón débil de la seguridad para la mayoría de los usuarios.