Por Marcela Pallero y María Trevisani Vespa.
En junio pasado se hizo conocida una «nueva exposición masiva de datos». Los titulares anunciaban «Una filtración masiva expone a 16.000 millones de cuentas en todo el mundo»; en La Nación [1], «Filtran más de 16.000 millones de contraseñas de Facebook, Apple, Telegram, entre otras apps»; en Infobae [2]. Estas no son situaciones aisladas, sino que forman parte de un contexto de constantes filtraciones de datos que se hacen públicas semanalmente en las noticias.
A pesar de parecer un tema sencillo, su complejidad requiere un análisis más detallado.
Definición y características
Una filtración o leak (fuga en inglés) es un conjunto de datos que se encuentra expuesto de manera pública o semipública. Este último caso ocurre cuando el sitio donde se publica la información no está indexado por buscadores y su divulgación es, a priori, no autorizada debido al carácter confidencial de los datos. En muchos casos, estos datos son de naturaleza personal.
En la mayoría de las situaciones —como la mencionada al inicio— el origen de los datos no puede determinarse de inmediato. Sin embargo, cuando existe una dirección de correo electrónico cuyo dominio corresponde a una empresa u organismo específico, puede asumirse, de manera equivocada, que los datos fueron extraídos de esa organización y corresponden a un período reciente.
La problemática de los leaks tiene varias décadas en el ámbito de la seguridad informática, pero actualmente se producen (o se hacen públicas) con mayor frecuencia, exponen más datos y llegan al conocimiento del público general a través de redes sociales hasta alcanzar los medios de comunicación masiva. La información que se publica a veces carece de una explicación detallada y nos puede confundir.
Tipos de datos expuestos e impacto
Los datos expuestos pueden incluir datos personales que permiten identificar individuos, secretos comerciales, documentación financiera empresarial, entre muchos otros.
Las intenciones de quienes exponen esta información varían considerablemente: desde el activismo y el espionaje internacional o corporativo, hasta actividades del crimen organizado.
Esta información circulante en internet contribuye posteriormente a la materialización de numerosos ataques contra personas, organizaciones e incluso países. Además de afectar diversos derechos relacionados con la protección de datos personales, una vez que la información se publica en internet resulta extremadamente difícil, si no imposible, eliminarla completamente.
Origen de los datos filtrados y su publicación
El origen de los datos puede ser diverso. Pueden haber sido extraídos de una o varias organizaciones, o de entidades que pertenecen a una cadena de proveedores. Por ejemplo, si se observan múltiples cuentas de un dominio como xxxx@empresaY.com, es posible que no hayan sido “robadas”; directamente a la empresa Y, sino a un proveedor que procesa esos datos. Asimismo, pueden ser producto del robo desde computadoras personales de clientes de esa empresa, para luego ser agrupados según la organización de pertenencia.
La información filtrada puede haberse copiado y extraído de un almacenamiento (propio o de terceros) sin autorización y sin que su propietario o responsable lo advirtiera —en algunos casos porque no estaba adecuadamente protegido—, ya sea desde almacenamiento en la nube o centros de datos propios.
Las filtraciones publicadas pueden, además, ser recopilación de publicaciones anteriores, como en el caso mencionado al principio de este texto, o novedosas, razón por la que las noticias sobre este tema puede ser difícil de dar a conocer sin una investigación mínima.
Desde otro punto de vista, esta información filtrada (o robada) se hace conocida por los “investigadores de ciberseguridad” que exponen la información que encuentran en su trabajo diario y que luego se hace noticia. Debemos decir que estas publicaciones aún suscitan controversia. Sin embargo, sin esas publicaciones, seguramente no nos enteraríamos de la gran cantidad de datos expuestos.
Causas de las filtraciones
Estas filtraciones pueden ser consecuencia de uno o varios incidentes:
Ransomware: Código malicioso que impide, por el cifrado de sistemas, el funcionamiento normal de una organización y la extracción de información durante el incidente. En casos conocidos, cuando la víctima se resiste a dos extorsiones, la primera por la recuperación de las claves de cifrado, y una segunda para no hacer pública la información extraída, el grupo atacante publica los datos exfiltrados como parte de su estrategia.
Empleados internos “infieles” (insiders): Individuos que utilizan sus credenciales válidas para copiar y extraer información de manera no autorizada.
Infostealer: Según investigaciones de empresas de ciberseguridad, estos programas constituyen tal vez la mayor causa conocida de data leaks. Están diseñados para extraer información confidencial y robar datos indiscriminadamente sin ser detectados. Este tipo de malware [3] suele incluirse en software alterado para funcionar sin licencia, como copias crackeadas o piratas. Los datos que aparentemente pertenecen a una organización específica pueden resultar de una reagrupación realizada por uno o varios atacantes.
Dado que no es posible determinar el origen de un leak sin una investigación exhaustiva, sería prudente tratar la información expuesta como de origen desconocido.
Aspectos clave para los usuarios. Implementación de buenas prácticas
Las características del medio digital dificultan la detección del copiado y extracción de datos desde ubicaciones remotas, a menos que existan controles técnicos y organizacionales específicos.
Como usuarios, debemos considerar varios aspectos al encontrarnos con estas noticias, cuando la fuente que la publica ha validado que es real: ¿cómo llegó a hacerse pública tal información? cómo fue que se extrajo la información y de dónde? ¿Estaba adecuadamente protegida?
Esta última pregunta se relaciona directamente con las prácticas de ciberseguridad y seguridad de la información.
Desafíos en la detección y respuesta
En diversos casos, los investigadores han descubierto que grandes volúmenes de datos fueron extraídos sin activar ninguna alarma, según el análisis posterior de los registros de logs [4] de los equipos y sistemas tras un incidente.
Las buenas prácticas incluyen una función técnico-organizativa de detección, en materia de seguridad de la información, que abarca este tipo de controles, junto a muchas otras como control de accesos o gestión de vulnerabilidades. No contar con medidas de monitoreo constituye una debilidad significativa. Sin embargo, no todas las organizaciones están alineadas con estándares en materia de seguridad de la información.
Investigación y aspectos legales
Es deseable realizar una investigación interna por parte de una empresa si es la que parece afectada para determinar qué ocurrió y en su caso, prevenir recurrencias. Cuando se configura un delito, se puede presentar una denuncia e iniciar una investigación para identificar a los responsables. No obstante, las circunstancias en las que se conoce un leak pueden presentar múltiples dificultades debido a complejidades técnicas, la involucración de varias jurisdicciones y/o múltiples partes interesadas.
Existe un componente administrativo donde cada organización debe mantenerse atenta a la protección de los datos que custodia y comunicar a sus clientes o usuarios cuando se verifica una filtración.
Evidencia digital y forensia
Otro factor que influye en el éxito de las investigaciones, si se quisiera judicializar el incidente, es la necesidad de contar con evidencia digital que cumpla con buenas prácticas en forensia informática. En muchos casos, los registros de los sistemas no se almacenan o resguardan con las precauciones debidas. Los procedimientos de adquisición y análisis de evidencia digital deben ser realizados por profesionales en informática forense o peritos especializados para evitar nulidades procesales.
Hacia una respuesta integral
Las acciones para contener las consecuencias de este fenómeno global no pueden limitarse a perseguir a los atacantes. Existe un conjunto conocido de prácticas preventivas que podrían evitar estos hechos —tal vez no todos, pero sí una gran mayoría.
La pregunta fundamental es: ¿estamos haciendo todo lo posible para reducir las probabilidades de éxito de los atacantes?
Haciendo una analogía con el mundo físico, podríamos preguntarnos si estamos exigiendo puertas blindadas y rejas, o si en el mundo digital las organizaciones ni siquiera tienen puertas, sino espacios abiertos sin control. Si entendemos que existe un conjunto de prácticas básicas de seguridad digital, ¿se están implementando?
Ciudadanía digital responsable
Exigir medidas de seguridad adecuadas para nuestros servicios digitales incluyendo instituciones de salud, educativas, supermercados y todas aquellas que almacenen y procesen nuestros datos— constituye un acto de ciudadanía digital. Cualquier ámbito de nuestra vida cotidiana puede verse afectado por estas vulnerabilidades.
La protección de datos no es solo una responsabilidad técnica o empresarial, sino un derecho fundamental que requiere la participación activa de todos los actores involucrados: organizaciones, usuarios y autoridades regulatorias.
[1] Una filtración masiva expone a 16.000 millones de cuentas en todo el mundo, La Nación, 19 de junio de 2025.
[2] Filtran más de 16.000 millones de contraseñas de Facebook, Apple, Telegram, entre otras apps, Infobae, 19 de junio de 2025.
[3] Malware: Programas que pueden causar distintos tipos de impactos negativos. Se utilizan para extraer información, cifrar datos sin autorización, alterar datos, dañar sistemas impidiendo su funcionamiento, espiar, etc. Afectan a empresas, personas de todas las edades y organismos públicos o Estados.
[4] Registros de auditoría o logs: Información que los sistemas almacenan para identificar usuarios, acciones, fechas, objetos afectados y demás datos técnicos necesarios para rastrear errores o fraudes.
– – –
Docente de Ciberseguridad de la DTD del CETyS. Consultora en Ciberseguridad. Políticas Públicas, Estrategia regionales y nacionales, aspectos técnicos, de gestión e institucional. Ingeniera en sistemas de información (UTN), especialista en criptografía y seguridad teleinformática (ESTE). Trabajó en delitos informáticos en PFA, en el equipo de respuesta a incidentes de seguridad (de gobierno) ArCERT, en Firma Digital en ONTI y se desempeñó como Analista en el BCRA en la Gerencia Principal de Normas de Seguridad de la Información en Entidades.
Abogada (UTDT), EMBA (IAE-Universidad Austral). Realizó una Especialización en Derecho Penal (UTDT), una Diplomatura en Gobernanza de Internet (UCU-CETyS), una Diplomatura Internacional en Protección de Datos Personales, y está certificado como Delegada de Protección de Datos Personales-DPO (CETyS-UdeSA).
