Las aplicaciones que usamos para aparcar han dejado de ser simples monederos digitales. Guardan matrículas, teléfonos, correos, documentos de identidad y, en muchos casos, patrones de uso ligados al coche. El ataque sufrido por ElParking muestra por qué esa mezcla de datos es tan delicada cuando termina fuera del control de la empresa.ElParking forma parte de Mutua Más, la plataforma de servicios de Mutua Madrileña. Su utilidad es evidente: pagar parquímetros, gestionar aparcamientos, usar telepeaje o resolver trámites vinculados al vehículo desde el móvil. Esa comodidad tiene una contrapartida. Una cuenta de movilidad concentra información personal que permite identificar a una persona y asociarla a un coche concreto.La compañía afirma que las contraseñas y los datos de pago no se han visto comprometidos. Es una diferencia relevante, porque reduce el riesgo financiero inmediato. Aun así, un DNI unido a una matrícula y un teléfono puede alimentar intentos de suplantación, llamadas fraudulentas o mensajes diseñados para parecer comunicaciones oficiales.Datos expuestos y respuestaLa información publicada por Demócrata detalla que Mutua Más detectó el acceso no autorizado el 14 de junio de 2026 y que el incidente habría afectado a la aplicación ElParking. Entre los datos expuestos figuran correos electrónicos, números de teléfono, matrículas de vehículos y documentos de identidad. La empresa sostiene que sus sistemas bloquearon la intrusión y que el caso ya ha sido comunicado a la Agencia Española de Protección de Datos y a la Policía.El punto que ahora queda pendiente es el alcance real. Mutua Más limita el incidente al entorno de la app de movilidad y descarta que el resto de sistemas del grupo se hayan visto afectados. Ese tipo de acotación será clave en la auditoría forense, sobre todo porque otros casos recientes, como el de Cecotec, ya enseñaron que la rapidez al avisar también cuenta cuando hay datos personales en juego.La amenaza que llega despuésQue no se hayan filtrado contraseñas no significa que el usuario pueda olvidarse del asunto. En filtraciones como la reciente de LastPass, el problema no estaba en entrar a la cuenta, sino en disponer de suficiente información personal para fabricar mensajes creíbles. El correo y el teléfono abren la puerta a campañas de phishing mucho más afinadas.El caso de ElParking añade una pieza poco habitual: la matrícula. Con ese dato, un estafador puede construir avisos falsos sobre multas, estacionamientos pendientes, renovaciones de telepeaje o supuestos cargos relacionados con el vehículo. Algo parecido ocurre cuando una brecha permite saber qué servicio usa una persona, como pasó con OpenAI. El atacante ya no dispara a ciegas: sabe qué marca invocar y qué dato usar para sonar convincente.Qué pueden hacer los afectadosLa primera medida no pasa por entrar en pánico, sino por revisar con calma las comunicaciones que lleguen por correo, SMS o llamada. Conviene acceder siempre desde la app oficial o desde la web escrita a mano, sin seguir enlaces recibidos en mensajes. En incidentes como el de Discord, las compañías también remarcaron que las credenciales podían seguir a salvo, pero la exposición de datos personales elevaba el riesgo de engaños posteriores.También merece la pena cambiar la contraseña si se reutilizaba en otros servicios, activar la verificación en dos pasos cuando esté disponible y vigilar cargos o avisos extraños vinculados al coche. Si llega una comunicación que menciona la matrícula, una deuda de aparcamiento o una supuesta verificación urgente, la comprobación debe hacerse fuera del mensaje recibido.Las apps de movilidad han ganado terreno porque ahorran tiempo en tareas pequeñas. El precio de esa comodidad es que cada cuenta se convierte en una pequeña ficha administrativa del usuario: identidad, contacto y vehículo. Cuando esa ficha se filtra, el daño no termina en el día del ataque. Empieza en las semanas posteriores, cuando alguien intenta convertir esos datos en confianza.