Filtraciones de datos: el costo ciudadano de la negligencia digital

Cada nueva filtración de datos parece encontrarnos igual: con indiferencia y resignación. No es apatía, sino cansancio. “Total, no tengo nada que ocultar, no soy tan importante”, es una de las frases más repetidas, que refleja cómo se ha instalado la idea de que la privacidad no importa. Esa resignación, alimentada por la negligencia de las empresas y entidades estatales que almacenan nuestros datos, está erosionando la confianza social y normalizando la idea de que la privacidad deje de percibirse como un derecho básico.

Se trata de un fenómeno que no surge de la nada. En lo que va del año, ya podemos constatar múltiples casos en distintos países de América Latina. En Argentina una app estatal comprometió 13 mil perfiles; en Uruguay se vendió una base de datos estatal con más de medio millón de registros; en México un ataque a una boletera dejó al descubierto datos bancarios de 80 mil personas; en Paraguay se filtraron más de 7 millones de registros del Tribunal Superior de Justicia Electoral; en El Salvador una gestora de cobros perdió más de 140 gigabytes de información de sus clientes; y en Venezuela se reportó la exposición de más de 3,2 millones de personas usuarias de Movistar. En estas filtraciones suelen aparecer datos como el documento de identidad, nombres, fechas de nacimiento, direcciones, teléfonos. Muchos incidentes incluyen además información sensible como fotografías, firmas, huellas, historiales médicos, registros laborales y socioeconómicos.

Desde el tecnicismo, estos campos se presentan como simples columnas en una base de datos, pero en realidad cada una de esas columnas corresponde a fragmentos de nuestras vidas: quiénes somos, dónde vivimos, cómo trabajamos y hasta qué padecemos. Reducir la información a tablas y registros invisibiliza que detrás de cada dato hay una persona con derechos que pueden ser vulnerados si su información personal queda expuesta.

Cuando la tecnología falla, las personas lo sufren

Tanto el sector privado como el público parecen estar en una carrera sin fin hacia la “innovación”, pero ¿qué valor tiene hablar de innovación si se construye sobre la exposición constante de los datos de la ciudadanía? Innovar no debería significar coleccionar más información de la necesaria ni esconder en la letra pequeña cómo se utiliza. Tiene que incluir el diseño de sistemas no solo funcionales, sino también seguros y accesibles, que no trasladen todo el riesgo a las personas. Mientras eso no ocurra, la llamada “innovación” seguirá siendo un discurso vacío, blindado a través de comunicados tardíos que llegan cuando el daño ya está hecho.

Las filtraciones permiten que datos que parecen administrativos se transformen en herramientas de delito. Con un número de documento, y otras informaciones básicas que suelen aparecer en un carnet de identidad, un delincuente puede solicitar préstamos o abrir cuentas bancarias a nombre de otra persona. Con direcciones y teléfonos filtrados, las extorsiones y estafas se multiplican. Esa información llegó a utilizarse incluso para inscribir a personas en partidos políticos sin su consentimiento, como ocurrió en el caso de la filtración de la base de datos del Reniec en Perú, el cual facilitó afiliaciones masivas a organizaciones políticas sin autorización ciudadana.

La mayoría de los ciberataques ocurridos entre 2023 y 2024 contra organizaciones latinoamericanas derivó en filtraciones de datos, que representaron el 53% de los casos. Más de la mitad de la información robada correspondió a datos personales (32%) y credenciales de cuentas (21%), revelando cómo el contenido filtrado es insumo para el delito digital.

No todas las personas enfrentan los mismos riesgos cuando sus datos quedan al descubierto. Las mujeres suelen ser blanco de violencia digital: acosadores que utilizan sus fotos o números de teléfono para hostigarlas, amenazarlas o enviarles contenido sexual. Niñas, niños y adolescentes quedan especialmente vulnerables a engaños en línea o a ser fácilmente identificables, lo que conlleva a riesgosas situaciones de trata y violencia infantil. Las personas defensoras de Derechos Humanos o pertenecientes a la comunidad LGTBIQA+ quedan expuestas a campañas de acoso y criminalización si su información personal se hace pública. En muchos casos esto ocurre a través del doxxing, es decir, la exposición maliciosa de datos personales en Internet. Las filtraciones masivas de bases de datos que luego circulan abiertamente en la web —ya sea en foros de la Darkweb o en canales de compraventa de Telegram— alimentan estas prácticas, amplificando el hostigamiento y poniendo en riesgo la garantía de derechos en general.

Los datos socioeconómicos filtrados también agravan la desigualdad: un historial de deudas o la procedencia de un barrio estigmatizado pueden bastar para que alguien sea descartado en un proceso laboral. Entonces, si miramos estas filtraciones solo como un problema técnico, pasamos por alto que en realidad refuerzan estructuras de discriminación y amplifican violencias que ya existen históricamente en nuestra sociedad.

Medidas urgentes para resguardar la confianza

Uno de los mayores descuidos suele ubicarse en el control de accesos: se debe garantizar que solo las personas autorizadas puedan acceder a los sistemas que almacenan nuestra información y que esos permisos deban ser revisados de forma constante y eliminados cuando ya no correspondan. No hacerlo puede derivar en situaciones graves. En un caso reciente en Perú, un extrabajador de una empresa de telecomunicaciones fue investigado penalmente porque delincuentes aprovecharon un acceso a su nombre que nunca había sido desactivado para ingresar a la base de datos personales nacional y, con esa información, suplantar personas, cambiar titularidad de líneas móviles y robar cuentas bancarias.

Para prevenir estos delitos, es necesaria la aplicación del principio de “mínimo privilegio”, es decir, que cada persona que trabaja en las entidades que almacenan nuestros datos tenga únicamente los accesos que necesita para cumplir su función, y desactivar de inmediato los accesos de quienes dejan esa institución.

Asimismo, la adopción de autenticación multifactor (MFA) en todos los accesos administrativos junto al uso de gestores de contraseñas, reduce significativamente el riesgo de intrusiones. La MFA consiste en combinar al menos dos métodos distintos de verificación, como por ejemplo: algo que sabemos (una contraseña), algo que tenemos (un celular o un token físico) y algo que somos (huella digital o rasgos faciales). No obstante, este último método -la biometría- actualmente no es una solución libre de riesgos. En Brasil, por ejemplo, se investigó un esquema que vulneró los sistemas de biometría del portal gov.br mediante técnicas de manipulación de imágenes, accediendo de forma indebida a datos personales.

Otra medida indispensable es el cifrado. En pleno 2025 todavía vemos bases de datos expuestas y archivos circulando sin protección, como si fueran documentos abiertos al público. Ese tipo de fallo de seguridad permitió la intrusión fraudulenta a los registros de más de 243 millones de personas en Brasil en 2020, cuando credenciales del Ministerio de Salud quedaron expuestas en el código fuente de una página oficial durante al menos seis meses. Toda información debe almacenarse cifrada y toda transferencia de información debe viajar por canales seguros, como ocurre con las páginas web que usan HTTPS en lugar del inseguro HTTP.

La seguridad exige constancia: auditar accesos, detectar patrones anómalos como consultas masivas o fuera de horario y mantener registros verificables. Cada ingreso debe quedar trazado y cada alerta investigada a tiempo, porque no sirve reaccionar cuando el daño ya está hecho. La ciudadanía tiene derecho al resguardo de sus datos y su privacidad y no solo a que se informe livianamente después de un incidente. Cada registro ignorado o cada log sin revisar es, en realidad, una decisión sobre cuánto valoran las instituciones la confianza pública.

Tan importante como proteger los sistemas es cuestionar la cantidad de información que se recolecta. Muchas filtraciones se podrían haber evitado si las organizaciones no hubieran almacenado más datos de los necesarios. Guardar copias indefinidas de documentos, recolectar información sensible “por si acaso” o para generar publicidad, no establecer plazos claros de eliminación, todo esto multiplica los riesgos.

De todas formas, ninguna herramienta sustituye a una cultura de seguridad que ponga a las personas en el centro. Una capacitación en seguridad digital de media hora una vez al año no forma conciencia ni previene errores. Las instituciones necesitan contar con una política de seguridad digital, dotada de equipos profesionales preparados, protocolos claros y un compromiso real desde la dirección hasta el último nivel operativo. A menudo vemos gastos millonarios en sistemas de seguridad, pero la tecnología por sí sola no es suficiente si no se acompaña de procesos claros de prevención, detección y respuesta, y de especialistas capacitados que entiendan que están protegiendo a personas, no solo datos o dispositivos.

Cuando la ley no alcanza

Varios países de América Latina cuentan hoy con leyes de protección de datos personales y autoridades de regulación. Sin embargo, los casos recientes demuestran que lejos de resolverse, esta problemática se vuelve recurrente en nuestra región: tanto empresas como entidades estatales vuelven a tener filtraciones que afectan a millones de personas. El marco regulatorio, aunque necesario, se muestra insuficiente si no existe la capacidad y voluntad de hacerlo cumplir.

Proteger los datos es un deber político y ético. El Estado debe garantizar derechos y construir confianza ciudadana, y las instituciones -públicas y privadas- asumir que detrás de cada registro hay vidas humanas. Mientras nuestra región no entienda que la privacidad es parte de la dignidad, seguiremos tratando las filtraciones como simples fallas técnicas, cuando en realidad evidencian la falta de compromiso público con la protección de derechos.