El día 29/09/25 se hizo público en un foro de la Dark Web por parte del grupo Pampaleaks un nuevo hackeo a organismos del Estado uruguayo. Varias empresas y organizaciones internacionales dieron cuenta del ataque en el que detallan que obtuvieron millones de datos personales de ciudadanos. Además, declaran que han copiado esa información a la red Tor (anónima) y por lo tanto pueden trabajar con ella libremente. Incluso indican que han desarrollado una herramienta para hacer consultas rápidas en las bases de datos obtenidas y así tener datos de forma rápida, precisa y cruzar tablas para acceder a aún más información relevante.
El caso de Ceibal es muy sensible, ya que involucra el acceso a datos de millones de alumnos (niños y adolescentes), maestros y profesores. Detallan que pueden rastrear datos personales y todo lo referente a entregas e historial de cada equipo entregado. Ellos mismos ponen en evidencia lo fácil que resultaría para cualquiera con esa información incluso entrar a una computadora del plan Ceibal ya que las contraseñas son la mayoría de las veces las cédulas de los estudiantes y sus cuentas están enlazadas al sistema operativo: esto último gracias a la pólemica decisión de Ceibal de usar Windows en sus notebooks (desechando Linux, intrínsecamente más seguro) y obligando a usar una cuenta de Microsoft, con toda la pérdida de privacidad (telemetría, etc…) que eso implica. Como muestra Pampaleaks puso una base de 33.000 registros para demostrar la veracidad de los datos, pero aclaran que tienen más de un millón de registros y también acceso a la plataforma Crea. Por si fuera poco, avisan que esto es solo la punta del Iceberg y que tienen muchísima más información disponible de bases de datos de este organismo.
Pero tan grave como estas afirmaciones pareciera ser la respuesta oficial de Ceibal, ya que niega varios aspectos de lo que dice Pampaleaks e indica que no se accedió a Crea y otras cosas, afirmando que la plataforma y los datos no sufrieron daños graves y todo está en funcionamiento. Una respuesta que se queda corta ante la gravedad del problema, negarlo no parece ser la mejor opción y además no es la primera vez que sufren ataques que penetran las redes internas y logran acceder a información.
También es preocupante todo lo que han obtenido de ANEP: de los más de 3 millones de registros de ciudadanos que dicen tener, presentan una muestra de como su sistema de consultas les permite ver la ficha estudiantil de un «conocido narcotraficante uruguayo en toda Sudamérica». Lo de Sucive con los registros de geolocalización e historial completo de vehículos de Uruguay y el Mercosur no se queda atrás y que decir sobre toda la información personal obtenida de las bases de datos de la Dirección Nacional de Identificación Civil; faltando aún saber que datos se obtuvieron de la Intendencia de Montevideo.
Hasta el momento AGESIC no ha dado una respuesta pública ni tampoco otro organismo aparte de la débil publicación de Ceibal. Lamentablemente parece que las vulnverabilidades son grandes y no han podido ser subsanadas, o por lo menos que la seguridad de nuestros datos no está tan bien protegida. No está de más recordar que todo ciudadano uruguayo tiene derecho a la protección de sus datos personales por ley y por lo tanto a reclamar y exigir en caso de fallas y saber que datos fueron accedidos. Lo importante es siempre cuidar nuestra información personal y esperemos que el Estado logre mejorar su nivel de protección y defensa, que desde hace tiempo está dejando bastante que desear. Si quieres ver más detalles del hackeo, te invito a ver el siguiente video:
Comentarios