El atacante no tumbó la puerta. Entró con la llave de un funcionario. Y nadie se dio cuenta porque, en el papel, todo estaba en orden.
Una historia que ya no cabe en un titular
Entre abril y mayo de 2026, Ecuador presenció algo que no se puede describir como un solo incidente. No fue un ataque. Fue una serie continua de publicaciones en foros clandestinos donde supuestos atacantes ofrecieron, en cuestión de semanas, bases de datos que —de ser auténticas— alcanzarían a prácticamente cualquier ecuatoriano con cédula, automóvil, cuenta bancaria, seguro médico o conexión a internet.
La cronología, reconstruida a partir de reportes de la plataforma de ciberinteligencia VECERT Analyzer y de medios como Primicias, Infobae, El Universo, Vistazo y GK, dibuja un mapa incómodo:
- 3 de abril de 2026 — Presunta filtración de 17 millones de registros vehiculares atribuida a la Agencia Nacional de Tránsito (ANT), entre 2018 y 2026, incluyendo nombres, cédulas, placas, direcciones y datos de contacto.
- Inicios de mayo de 2026 — Publicaciones sobre presuntos compromisos en una cooperativa, un proveedor de internet ambateño (SpeedyCom), el Banco de Machala (con más de 100.000 fotografías biométricas) y la aseguradora Saludsa (con datos médicos sensibles de más de 35.000 personas).
- 4 de mayo de 2026 — Aparece en Dark Forums una publicación atribuida a los actores GordonFreeman, Izanagi y YoSoyGroot, agrupados bajo el colectivo L4TAMFUCKERS, ofertando 14,8 millones de registros y 10,6 millones de imágenes de cédulas en alta definición presuntamente provenientes del Registro Civil (DIGERCIC).
El Registro Civil emitió un comunicado el 5 de mayo de 2026 en el que niega haber detectado vulneración en su infraestructura actual, pero admite algo que cambia toda la conversación: que se evalúan «posibles fuentes externas, como registros históricos o integraciones con terceros». La frase, leída con cuidado, no descarta nada. Solo desplaza el problema.
El modelo de ataque que nadie quiere nombrar
Durante años, el imaginario popular del «hackeo» estuvo dominado por la imagen del intruso encapuchado vulnerando firewalls con código brillante. La realidad es mucho más prosaica, y mucho más peligrosa: en la gran mayoría de los incidentes recientes en Latinoamérica, el atacante no rompió nada. Simplemente inició sesión.
Esto es lo que la industria llama el compromiso de la cadena de suministro de la identidad, y se compone de tres ingredientes:
1. Infostealers: el malware que no necesita talento
Los infostealers son programas diseñados para robar credenciales guardadas en navegadores, cookies de sesión, tokens de acceso y datos financieros. Funcionan de manera silenciosa y se distribuyen, mayoritariamente, bajo el modelo Malware-as-a-Service (MaaS).
Según el informe de ESET sobre Latinoamérica en 2025, las familias más detectadas son LummaStealer, Amadey, Rozena, Guildma, Formbook y Xloader. LummaStealer por sí solo registró más de 4.000 detecciones únicas en la región durante el primer semestre de 2025. El operador no necesita saber programar: alquila la herramienta, despliega campañas de phishing con archivos adjuntos o instaladores troyanizados y espera a que las credenciales fluyan.
2. Mercados clandestinos: la reventa de la llave
Las credenciales robadas no se quedan en manos del atacante original. Se publican y revenden en foros de Telegram y la dark web, organizadas por país, por dominio corporativo, por tipo de aplicación. Un comprador interesado en una institución específica puede adquirir, por sumas modestas, accesos válidos a portales internos sin disparar una sola alerta de intrusión.
El detalle incómodo: cuando un funcionario público o un proveedor con acceso privilegiado guarda su contraseña en el navegador de su computadora personal y luego abre un archivo malicioso, la organización a la que pertenece nunca lo sabrá. La fuga no ocurre dentro de su red. Ocurre afuera.
3. Scraping automatizado: el robo a velocidad industrial
Una vez dentro con credenciales legítimas, el atacante no necesita explotar vulnerabilidades. Despliega scripts que iteran sistemáticamente por los registros del sistema y descargan, en bloque, todo lo que el usuario comprometido tenía permiso para ver. Si ese usuario era un médico con acceso a expedientes, un funcionario con consultas amplias, o un perfil administrativo mal segmentado, el daño es proporcional a sus privilegios.
Este patrón —credenciales válidas + scraping— es el que un informe de inteligencia atribuye, como hipótesis, a varios de los compromisos recientes en la región. La hipótesis aún no ha sido confirmada por las instituciones afectadas, y debe leerse como lo que es: un análisis técnico basado en la estructura de los datos publicados, no una conclusión oficial.
«GordonFreeman» y la economía del reciclaje
Aquí entra uno de los puntos más interesantes —y más delicados— del análisis. Un informe de inteligencia de circulación reciente plantea una hipótesis fuerte: que el actor que hoy opera como «GordonFreeman» sería el mismo que durante 2025 firmó sus publicaciones como «Gatito_FBI», y que parte de lo presentado como «filtración DIGERCIC» sería en realidad datos reciclados de un compromiso anterior al Ministerio de Salud Pública (MSP) ocurrido en agosto de 2025.
El argumento técnico es sugestivo: la estructura de campos del dump publicado en mayo de 2026 incluye columnas como Edad_Aproximada, Nombre_Contacto, Parentesco y Teléfono_Contacto, más propias de una ficha clínica que de un registro civil formal, que típicamente trabaja con fechas exactas de nacimiento sin contactos de emergencia.
Tres advertencias importantes:
Primero, esta atribución no ha sido confirmada de manera independiente por medios o autoridades. Es una hipótesis de análisis de inteligencia y como tal debe tratarse.
Segundo, el alias Gatito_FBI sí está documentado públicamente como responsable de la presunta filtración del sistema SIDPOL de la Policía Nacional del Perú en 2025, donde se reportó un modus operandi compatible: compra de credenciales en canales clandestinos y uso de scripts automatizados para descargar denuncias en masa. Esa es una pieza verificable.
Tercero, la hipótesis del «reciclaje» tiene implicaciones que conviene subrayar: si fuera cierta, no exime al MSP de una posible vulneración previa no reconocida; pero tampoco confirma que DIGERCIC haya sido comprometido directamente. Las dos cosas pueden ser ciertas a la vez, y también pueden no serlo.
Lo que sí está claro es la lógica económica del actor: en el mercado de la información robada, reempaquetar datos antiguos bajo una nueva marca eleva su precio. Un dump rotulado como «Registro Civil 2026» se vende más caro que el mismo dump rotulado como «Ministerio de Salud 2025». El branding, en este mundo, también es delito.
El silencio elocuente: lo que las instituciones dicen y lo que callan
Un patrón se repite en cada incidente:
- VECERT Analyzer o Usuarios Digitales detectan la publicación en un foro.
- Medios nacionales replican la alerta.
- La institución afectada emite un comunicado afirmando que «no se ha detectado vulneración en la infraestructura actual».
- La misma institución, en la siguiente línea, deja la puerta abierta a «fuentes externas, registros históricos o integraciones con terceros».
- La Superintendencia de Protección de Datos Personales (SPDP) abre una investigación.
Esta fórmula no es necesariamente mala fe. Es, más bien, el reflejo de una verdad técnica incómoda: una institución puede tener sus servidores blindados y, aun así, ver sus datos filtrados desde el extremo de un proveedor, de un sistema heredado, de una integración con terceros o de un funcionario cuyo equipo personal fue infectado.
El Registro Civil reveló que entre 2024 y 2025 enfrentó más de 3,5 millones de intentos de ataque cibernético, con repuntes en meses previos a procesos electorales, originados desde México, España, Colombia, Venezuela, Bélgica y Brasil. Es una cifra que habla simultáneamente de un sistema bajo presión constante y de un perímetro que, según la propia institución, está conteniendo la ofensiva.
Pero el perímetro defendido no es el único que importa. Y ahí está el punto ciego.
El marco legal: entre la ambición y el limbo
Ecuador cuenta desde 2021 con la Ley Orgánica de Protección de Datos Personales (LOPDP), plenamente sancionatoria desde mayo de 2023, y desde 2024 con una Superintendencia de Protección de Datos Personales (SPDP) en funcionamiento.
El régimen sancionatorio prevé:
- Multas del 0,1% al 0,7% del volumen de negocio del ejercicio anterior para el sector privado.
- Sanciones administrativas y responsabilidad de funcionarios para entidades públicas.
- Obligación de notificar brechas de seguridad a la Superintendencia y a los titulares afectados.
En diciembre de 2025, la SPDP emitió sus primeras sanciones graves contra LIGAPRO y la Federación Ecuatoriana de Fútbol por incumplimientos en sus aplicaciones Fan ID y Fan FEF, con multas combinadas cercanas a los 450.000 dólares. Un precedente importante: la SPDP no es una entidad simbólica.
A esto se suma un dato político-jurídico llamativo: la Ley de Ciberseguridad fue aprobada por la Asamblea Nacional el 31 de marzo de 2026, pero al cierre de esta nota aún no había sido publicada en el Registro Oficial, según ha denunciado Usuarios Digitales. Una ley aprobada pero no vigente es una herramienta que existe en el cajón mientras la casa se inunda.
Lo que esto significa para usted, lector
Si su nombre, cédula, dirección, placa, número telefónico, foto, huella o expediente médico aparece en alguna de las bases mencionadas, el daño no es hipotético; es estructural. Los datos biométricos —rostros, huellas— tienen una característica que los vuelve particularmente peligrosos: no se pueden cambiar. Una contraseña filtrada se rota; una huella filtrada se queda filtrada para siempre.
Los riesgos prácticos incluyen:
- Suplantación de identidad en procesos de apertura de cuentas, créditos o trámites en línea.
- Phishing dirigido que utiliza datos reales (cédula correcta, placa correcta, deuda real) para parecer creíble. Las estafas vía SMS suplantando a la ANT ya están circulando.
- Reutilización en sistemas que dependen exclusivamente de la foto de la cédula para verificación remota.
- Cruzamiento con otras filtraciones para construir perfiles enriquecidos vendibles a campañas de fraude.
Algunas medidas concretas que sí están en sus manos:
- Activar segundo factor de autenticación (2FA) en banca, correos y redes, idealmente con aplicaciones de autenticación, no por SMS.
- Suplantar contraseñas reutilizadas entre servicios distintos; un infostealer captura todo lo que el navegador haya guardado.
- Solicitar alertas de movimientos en su buró de crédito y en sus cuentas bancarias.
- Desconfiar de mensajes que mencionan deudas, multas, cobros o trámites con sentido de urgencia, especialmente si incluyen enlaces.
- Ejercer sus derechos ARCO (Acceso, Rectificación, Cancelación, Oposición) ante las entidades que tratan sus datos, conforme a la LOPDP.
Lo que esto significa para las organizaciones
Cualquier empresa, cooperativa, universidad, clínica o entidad pública en Ecuador que maneje datos personales debería, antes de la próxima auditoría, contestar honestamente:
- ¿Sabe dónde están todos sus datos personales y quién tiene acceso?
- ¿Los accesos privilegiados están protegidos con 2FA obligatorio y monitoreo de comportamiento?
- ¿Existe un proceso para detectar credenciales corporativas expuestas en logs de infostealers y dumps públicos?
- ¿Las integraciones con terceros y los sistemas heredados están inventariados, segmentados y auditados?
- ¿Tiene un plan de respuesta a incidentes y un protocolo de notificación a la SPDP definido y probado?
- ¿Ha designado un Delegado de Protección de Datos (DPD) si su actividad lo exige?
Las primeras sanciones SPDP demostraron que el incumplimiento sale caro. Las publicaciones recientes en Dark Forums demuestran que la negligencia sale mucho más caro.
La conclusión incómoda
Lo que está pasando en Ecuador no es excepcional. Es la versión local de una tendencia regional bien documentada: un mercado eficiente de credenciales robadas, alimentado por infostealers, que convierte el acceso legítimo a sistemas estatales en una mercancía.
Las instituciones pueden seguir defendiendo su perímetro con técnica y rigor —y muchas lo están haciendo— pero mientras un solo funcionario abra un archivo equivocado en su computadora personal, la cadena se rompe en un eslabón que no aparece en ningún diagrama de arquitectura.
La pregunta, entonces, no es solo «¿quién hackeó a Ecuador?». Es algo más exigente: ¿cuánto tiempo más vamos a confiar en que el perímetro alcanza, cuando el problema ya está afuera del perímetro?
Fuentes consultadas para esta nota
- VECERT Analyzer (@VECERTRadar), publicaciones de abril y mayo de 2026.
- Primicias: cobertura sobre filtración DIGERCIC, ANT y declaraciones de la SPDP.
- Infobae América: reportaje sobre los 14,8 millones de registros (mayo de 2026).
- El Universo, Vistazo, Teleamazonas, GK, Extra: comunicados y análisis del Registro Civil.
- Comunicado oficial del Registro Civil del Ecuador, 5 de mayo de 2026.
- Resoluciones de la Superintendencia de Protección de Datos Personales (SPDP), 2025-2026.
- ESET Latinoamérica: informe sobre infostealers en la región, julio de 2025.
- Usuarios Digitales (@usuariosdigital): alertas y monitoreo continuo.
- Meythaler & Zambrano Abogados: análisis jurídico bajo la LOPDP.
Este artículo se basa en información de fuentes públicas y reportes de inteligencia de circulación abierta. Las atribuciones a actores específicos provienen de los nombres con los que estos se presentan en foros clandestinos y no constituyen identificación de personas reales. Las descripciones técnicas de modus operandi tienen propósito exclusivamente analítico y de concientización en seguridad de la información. Las afirmaciones marcadas como «presuntas» no han sido confirmadas oficialmente al momento de la publicación.
Deja una respuesta