PampaLeaks en Uruguay: la ruta de datos del Estado que pasó de filtración a negocio ilegal

La historia de PampaLeaks en Uruguay dejó de ser una sucesión de posteos en foros clandestinos para convertirse en una discusión pública sobre el nivel de exposición de los datos estatales. En menos de un año, el grupo pasó de adjudicarse ataques y filtraciones vinculadas a Dinacia, Ceibal y otras bases públicas, a anunciar un supuesto “servicio de ciberinteligencia” para rastrear ciudadanos uruguayos con información obtenida de organismos del Estado y vender esos accesos a cambio de criptomonedas.

El primer hito visible fue el ataque al sitio de la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (Dinacia). El 17 de marzo de 2025, la web de Dinacia fue desfigurada con mensajes políticos y con datos de autoridades. El País explicó que se trató de un defacement, es decir, una intervención sobre la apariencia del sitio. El hackeo apareció firmado por Uruguayo1337, LaPampaLeaks y Bogotaleaks. Sin embargo, el director de Dinacia dijo entonces que los atacantes “crearon un parche por encima del portal” y que no había indicios de ingreso al interior del sitio.

La operación fue acompañada por una amenaza mayor: los atacantes afirmaron tener acceso a direcciones, registros policiales y “carpetazos” de políticos y funcionarios. Esa afirmación, clave para entender la estrategia comunicacional del grupo, no fue confirmada oficialmente. Según publicó MercoPress, las autoridades describieron el ataque como superficial, sin afectación de sistemas críticos, y señalaron que los datos expuestos podían provenir de filtraciones previas o fuentes públicas.

El segundo capítulo llegó con Ceibal y la plataforma CREA. El 30 de setiembre de 2025, el grupo PampaLeaks dijo tener información de más de un millón de personas con dispositivos asignados —principalmente laptops y tablets educativas— y un volumen similar de usuarios de CREA. También publicó una muestra de 33.000 usuarios, según consignó Prensa Latina.

La respuesta oficial de Ceibal bajó el alcance del incidente. En un comunicado, la institución sostuvo que no hubo ataque ni acceso a su red interna, que los datos se tomaron a partir de un informe y que no se accedió a la base de datos de usuarios de CREA. También señaló que se vulneró el perfil de un usuario de la plataforma y, desde allí, se accedió a datos de perfiles de otros usuarios, pero no a información de uso de la plataforma.

En paralelo, reportes periodísticos y de ciberseguridad ampliaron el mapa de bases supuestamente involucradas. Teledoce informó que los incidentes mencionaban a ANEP, Ceibal, Universidad ORT, y que los atacantes reunían bases anteriores como las de Sucive, la Intendencia de Montevideo y la Dirección Nacional de Identificación Civil. Agesic, consultada sobre si esas bases correspondían efectivamente a Ceibal, ANEP, IMM, Sucive y DNIC, respondió que en ese momento no podía confirmarlo.

La diferencia entre lo que el grupo dice y lo que los organismos confirman es el centro de toda esta historia. PampaLeaks afirma tener bases amplias, cruzables y actualizadas. Los organismos, en cambio, han reconocido incidentes puntuales, pero en general niegan que los accesos hayan tenido el alcance que los atacantes declaran. En el caso de Ceibal, por ejemplo, la institución reconoció una filtración de datos básicos, pero negó una intrusión a su infraestructura tecnológica.

El salto más sensible ocurrió en mayo de 2026, cuando el foco pasó a TuID Digital, la plataforma de identidad electrónica de Antel. LaPampaLeaks afirmó en foros clandestinos haber encontrado una brecha de seguridad en TuID y haber accedido a datos personales vinculados a identidad, validación biométrica y firmas digitales. Montevideo Portal consignó que el grupo aseguró haber obtenido números de cédula, nombres completos, fechas de nacimiento, correos, teléfonos, domicilios, información biométrica y datos asociados a firmas digitales, además de claves de API y configuraciones backend. La propia nota aclaró que esas afirmaciones no contaban, en ese momento, con verificación independiente.

Antel confirmó un ataque al Sistema de Autenticación de TuID, activó protocolos y presentó denuncias ante Fiscalía y el Ministerio del Interior. La empresa aseguró que el ataque no vulneró las claves de autenticación, ni datos especialmente protegidos de la ciudadanía o de la empresa, y que se mantenía la confiabilidad de la firma electrónica avanzada.

Días después, Antel informó un análisis forense más acotado: para la totalidad de los usuarios no se comprometieron contraseñas, pines de firma, claves privadas asociadas a certificados digitales ni credenciales. El punto más delicado fue que hasta 163 usuarios podrían haber visto comprometidas “minucias” de huella dactilar, correspondientes al enrolamiento inicial realizado entre febrero y octubre de 2020. La empresa comunicó la situación a esos usuarios y señaló que los enrolamientos posteriores no estaban alcanzados.

El 18 de mayo de 2026, el caso tomó otra dimensión: PampaLeaks afirmó haber creado un servicio para rastrear ciudadanos uruguayos. Según El País, el grupo dijo que el servicio era “más poderoso” que PampaBot porque incluía la base scrapeada de TuID, nuevas bases de Uruguay y “accesos activos” en lugares del Estado. La oferta se publicaba a cambio de pagos en bitcoins.

La agencia EFE, reproducida por Infobae, detalló que PampaLeaks usó datos de figuras políticas como muestra de ese servicio ilegal y afirmó que las fuentes a las que decía tener acceso incluían DNIC, TuID, Ceibal, UTU, ANEP y Sucive, entre otras. Esa publicación también recogió la respuesta de Antel: no se habrían comprometido contraseñas, pines de firma, claves privadas ni credenciales para la totalidad de los usuarios; sí se admitió el posible compromiso de minucias biométricas de un grupo máximo de 163 usuarios.

El patrón que emerge es claro: el dato estatal se convierte en materia prima. Primero aparece como filtración, luego como demostración de poder y, finalmente, como producto. Si los primeros episodios tenían un fuerte componente de exposición pública y mensaje político, el anuncio de un servicio pago marca una transición hacia una lógica de cibercrimen como servicio, donde el valor está en cruzar fuentes: identidad, domicilios, vínculos familiares, educación, vehículos, teléfonos y cuentas digitales.

El contexto tampoco ayuda. Agesic detectó y respondió en 2024 a 14.264 incidentes de ciberseguridad, el triple que el año anterior, y la categoría mayoritaria fue la recolección de información. En esa misma nota, El País ya vinculaba el crecimiento de incidentes con el caso Dinacia y con la preocupación por ataques contra organismos públicos.

La respuesta estatal comenzó a moverse hacia controles más duros. Presidencia publicó el Decreto N° 275/025, que activa la implementación de autenticación multifactor en organismos públicos; el objetivo es elevar el nivel de seguridad para accesos a sistemas y servicios estatales.

Lo que falta, sin embargo, es la parte más difícil: determinar con precisión qué bases fueron realmente comprometidas, en qué fechas, por qué vectores técnicos y si los atacantes mantienen accesos activos o solo explotan datos ya filtrados. Mientras eso no se aclare, el caso PampaLeaks seguirá funcionando como una advertencia: en un Estado cada vez más digital, la confianza pública depende tanto de los servicios como de la capacidad de proteger los datos que los hacen posibles.