La brecha afectó a SudamericaData, una firma de informes comerciales que ya había sido clausurada en 2023. El material expuesto combina registros fiscales de la AFIP, datos laborales de la ANSES y códigos fuente, facilitando la creación de perfiles detallados para estafas y robo de identidad.
Una filtración de dimensiones masivas ha puesto en jaque la privacidad de millones de argentinos. Según un reporte del sitio especializado Daily Dark Web, más de un terabyte de información confidencial comenzó a circular en foros clandestinos. El origen de la brecha sería un ataque informático contra SudamericaData, una empresa dedicada a la comercialización de informes crediticios que, según trascendió, habría continuado operando bajo la razón social Work Management a pesar de haber sido clausurada por la justicia el año pasado.
Un rompecabezas de datos sensibles
A diferencia de otros incidentes de seguridad, la gravedad de este episodio reside en la transversalidad de la información. Los atacantes no solo obtuvieron una base aislada, sino un repositorio que cruza datos de organismos críticos. Entre el material difundido se encuentran registros fiscales atribuidos a la AFIP/ARCA, información sobre titularidad de vehículos del DNRPA y bases completas de ANSES que detallan salarios, relaciones laborales y domicilios.
La filtración también alcanza al sector privado, incluyendo millones de números telefónicos de las principales operadoras del país y extensas listas de correos electrónicos. Sin embargo, el componente más alarmante para los especialistas es la exposición del código fuente y los sistemas internos de la empresa. Esto no solo revela cómo procesaban la información, sino que deja al descubierto vulnerabilidades que podrían ser explotadas en ataques futuros si esos sistemas siguen activos bajo otros nombres.
El riesgo del «perfilado» criminal
El principal peligro para el ciudadano de a pie no es solo que su número de DNI sea público, sino el potencial de perfilado. Al combinar bases de ANSES con registros fiscales y telefónicos, los delincuentes pueden reconstruir la vida financiera y personal de una víctima con una precisión quirúrgica.
Este escenario facilita la ejecución de estafas dirigidas (spear phishing), donde el atacante cuenta con datos reales —como el monto de un salario o el modelo de un auto— para ganarse la confianza de la víctima por teléfono o correo. Asimismo, el volumen de datos fiscales y laborales abre la puerta a la suplantación de identidad para la apertura de cuentas bancarias fantasmales o la solicitud de créditos fraudulentos.
Antecedentes y desprotección
El caso de SudamericaData reaviva la polémica sobre la falta de controles efectivos sobre las empresas que lucran con el acopio de datos personales. La firma ya había sido intervenida en 2023 en el marco de una investigación por el manejo irregular de información sensible. Que una empresa clausurada haya podido, presuntamente, seguir operando y acumulando tal volumen de información crítica plantea interrogantes sobre la fiscalización estatal y la vigencia de la Ley de Protección de Datos Personales.
Protocolo de prevención para usuarios
Ante la imposibilidad de verificar de forma masiva quiénes han sido afectados, los especialistas recomiendan entrar en un estado de «alerta activa». Esto implica:
- Reforzar accesos: Cambiar contraseñas y, de manera obligatoria, activar el segundo factor de autenticación (2FA) en aplicaciones bancarias y correos.
- Escepticismo digital: Desconfiar de cualquier contacto que mencione datos personales «verídicos» para solicitar códigos, transferencias o clics en enlaces sospechosos.
- Control financiero: Revisar semanalmente el historial de movimientos bancarios y el reporte de deudas para detectar cualquier actividad inusual a nombre propio.
