Una nota sobre la financiación: CypherpunkGuide no lleva publicidad de vigilancia. Nada de redes publicitarias, píxeles de rastreo ni contenido patrocinado. Nos sostienen fuentes transparentes: hoy, las donaciones de los lectores; más adelante, una suscripción y afiliados alineados con nuestra línea editorial. Respondemos ante quienes nos leen, no ante los anunciantes.
Puedes eliminar una cuenta de redes sociales. No puedes eliminarte de la agencia tributaria, del sistema de salud ni del registro nacional de identidad. Los datos que entregas a un gobierno no son una decisión que puedas reconsiderar: son el precio de existir como ciudadano. Ahí está todo el problema, en esa asimetría. Cuando una empresa pierde tus datos puedes, al menos en principio, marcharte. Cuando los pierde el Estado, sigues obligado a entregar más.
Y en 2026 el Estado los está perdiendo a gran escala. En apenas unas semanas de esta primavera, un contratista de la propia agencia de ciberdefensa de Estados Unidos dejó durante seis meses las claves de administración de sistemas gubernamentales en la nube a la vista, en un repositorio de código público; una agencia federal de salud publicó los números de la Seguridad Social de varios médicos en un directorio en línea; y el Servicio Nacional de Salud británico (NHS) confirmó que el personal de una empresa privada de análisis de datos podía llegar a registros identificables de pacientes. Ninguno fue un ataque sofisticado de un Estado-nación. Fueron fallos institucionales corrientes, de los que se repiten porque los incentivos que los producen nunca cambian.
Entonces, si no puedes evitar la filtración ni negarte a dar los datos, ¿qué puedes hacer de verdad? Esta no es una guía para confiar en mejores instituciones. La escribí como un manual construido sobre un modelo de amenazas claro —una descripción sencilla de qué proteges, de quién y qué ocurre cuando se filtra— y sobre una sola premisa: toda base de datos que contenga tus datos terminará siendo vulnerada, así que tu defensa tiene que vivir en capas que tú controlas, no en las promesas de la institución.
Los tres fallos de 2026#
Empieza por las pruebas, porque el patrón solo se vuelve accionable cuando lo ves repetirse. Tres incidentes documentados de 2026, en dos gobiernos y a ambos lados de la frontera público-privada, muestran la misma debilidad estructural desde tres ángulos. Una filtración (breach) significa aquí que datos sensibles quedaron al alcance de alguien que no debía tenerlos, ya sea por error, por exposición o por un acceso demasiado amplio.
| Incidente | Qué quedó expuesto | Causa de fondo | Estado |
|---|---|---|---|
| Filtración de CISA en GitHub | Claves de administrador de 3 cuentas gubernamentales en la nube + contraseñas en texto plano (844 MB) | El contratista sincronizó archivos de trabajo por un repositorio público, con el escaneo de secretos desactivado | Repositorio retirado; revisión de la agencia en curso |
| Directorio de Medicare (CMS) | Números de la Seguridad Social de profesionales médicos | Los SSN se escribieron en el campo equivocado de una base de datos pública | Portal dado de baja |
| Acceso de Palantir × NHS | Registros identificables de pacientes al alcance del personal de un proveedor | Acceso administrativo por contrato, no un ataque | Contrato activo; acceso vigente |
La filtración de CISA es el caso más claro. Un contratista de la Cybersecurity and Infrastructure Security Agency (CISA, la agencia de ciberdefensa de Estados Unidos) —el organismo encargado precisamente de defender las redes estadounidenses— mantenía en GitHub (un popular sitio de alojamiento de código) un repositorio público con credenciales de administrador de tres cuentas gubernamentales en la nube, archivos de contraseñas en texto plano, certificados de firma y tokens de acceso: alrededor de 844 megabytes de material interno. Según KrebsOnSecurity, el empleado usaba el repositorio para sincronizar archivos entre su equipo del trabajo y el de casa, y había desactivado a propósito la protección integrada de la plataforma que impide subir secretos. La exposición duró cerca de seis meses, hasta que la firma de seguridad GitGuardian la descubrió; según se informó, las claves de la nube siguieron siendo válidas unas 48 horas después de que el repositorio se retirara.
La filtración de CMS muestra el mismo descuido con el único identificador que nunca podrás reemplazar. Los Centros de Servicios de Medicare y Medicaid (CMS, la agencia estadounidense que gestiona el seguro médico público para personas mayores y de bajos ingresos) publicaron un nuevo directorio público de proveedores de Medicare y, como informó The Hill después de que el Washington Post lo sacara a la luz primero, al menos varias decenas de números de la Seguridad Social de esos proveedores —más de un centenar, según informes posteriores— quedaron expuestos porque los números se habían introducido en el campo equivocado. La agencia retiró el portal. Para los estadounidenses, el número de la Seguridad Social (SSN, un identificador único y permanente de cada persona) es lo más parecido a una llave maestra de la identidad: una vez público, queda comprometido de por vida.
El caso Palantir–NHS es distinto en su naturaleza, y la distinción importa. Esto no fue un ataque. Como informó The Register, NHS England confirmó que el personal de Palantir (la gran empresa estadounidense de análisis de datos) —el contratista privado que opera su Federated Data Platform de 330 millones de libras esterlinas (la plataforma central de datos de pacientes del NHS)— podía tener acceso administrativo a información identificable de pacientes. No hizo falta ningún atacante; el acceso estaba escrito en el propio funcionamiento del sistema. El grupo de la sociedad civil Medact documentó la preocupación resultante, y el Gran Mánchester siguió siendo el único organismo regional que se negó a sumarse. La lección no es «entró un villano». Es que concentrar los registros de salud de toda una nación bajo un único proveedor es, en sí mismo, la exposición, antes de que nadie haga un uso indebido de ellos.
No son los únicos. Retrocede un año y vuelve a aparecer la misma forma: a partir de finales de 2024 y descubierta a comienzos de 2025, la contratista gubernamental Conduent —que opera sistemas de Medicaid, de pensión alimenticia y de ayuda alimentaria para varios estados— sufrió una filtración que expuso los datos de la Seguridad Social y de salud de más de 25 millones de estadounidenses. Sus sistemas se restablecieron, aunque los litigios continúan y los identificadores filtrados no caducan. Varios incidentes esta primavera, uno el año anterior, dos países, lo público y lo privado: cambian los actores y el fallo no.
Por qué los gobiernos filtran de forma estructural#
La explicación cómoda es la mala suerte: un empleado descuidado, un error de dedo, un mal proveedor. La explicación útil es que esto no son accidentes, sino productos de cómo están construidos los sistemas. Cuatro fuerzas estructurales hacen que la fuga de datos del gobierno sea casi inevitable, y ponerles nombre es lo que te permite defenderte de la categoría en lugar de perseguir cada titular.
| Fuerza estructural | Mecanismo | Visto en |
|---|---|---|
| Dependencia de contratistas | La responsabilidad se diluye con cada traspaso a un proveedor externo | Claves de CISA en manos de un contratista; datos del NHS en manos de Palantir |
| Shadow IT | Herramientas no autorizadas sacan los secretos fuera de las salvaguardas | El repositorio público de GitHub del contratista |
| Agregación | Un solo error expone a millones cuando los registros están centralizados | Plataforma del NHS; los 25 millones de registros de Conduent |
| Rendición de cuentas asimétrica | La institución paga una multa; tú heredas el riesgo permanente | Los tres casos de 2026 |
La dependencia de contratistas diluye la responsabilidad. Los Estados modernos no operan la mayor parte de su propia tecnología: la subcontratan. Las claves de CISA estaban con un contratista; los registros del NHS, con Palantir; los 25 millones de registros, con Conduent. Cada traspaso suma una organización cuya seguridad no puedes ver y cuyos incentivos no son los tuyos. La agencia es dueña de la consecuencia; el contratista, del portátil.
El shadow IT —las herramientas que la gente usa sin aprobación— saca los secretos fuera de las salvaguardas. El repositorio público del empleado de CISA era shadow IT: una comodidad no autorizada que sorteaba todos los controles que la agencia creía tener. Cada vez que un proceso es demasiado lento, las personas construyen un atajo a su lado, y el atajo rara vez tiene barreras de protección.
La agregación convierte un error pequeño en una catástrofe. Cuando los registros están dispersos, un error expone a unos pocos. Cuando una plataforma federada o un directorio nacional los concentran, el mismo error expone a millones. La centralización se vende como eficiencia; también es un único punto de fallo catastrófico.
La rendición de cuentas es asimétrica. Cuando ocurre una filtración, la institución emite un comunicado, quizá paga una multa y sigue adelante. Tú heredas el riesgo permanente. Este desequilibrio es la razón más profunda para asumir la filtración: la parte que pierde tus datos no carga con el costo de perderlos, así que nunca tiene motivos suficientes para detenerse.
Junta todo esto y la conclusión no es cinismo: es una guía de diseño. No puedes reformar cuatro fuerzas estructurales desde fuera. Lo que sí puedes es construir una arquitectura personal que dé por hecho que fallarán.
La arquitectura de defensa: asume el 100 % de filtración#
Aquí está la parte que ninguna lista de respuesta a incidentes te da, porque no se puede vender como un arreglo único: una arquitectura permanente que asume que toda institución que guarda tus datos terminará perdiéndolos. Piénsala como cinco capas, ordenadas de la mentalidad a lo mecánico. No las completarás todas de golpe; las construyes como construyes cualquier defensa, una capa a la vez, más fuerte allí donde tu exposición es mayor.
Capa 1: adopta la mentalidad de asumir la filtración. Un modelo de amenazas es, sin más, una respuesta clara a «qué protejo, de quién y qué pasa si se filtra». El cambio aquí es dejar de modelar las instituciones como seguras y empezar a modelarlas como custodios temporales de datos que terminarán escapándose. No es paranoia; es lo que muestra el historial de 2026. Una vez que das por hecho que la base de datos se filtrará, cada decisión posterior —qué envías, bajo qué identidad, con qué plan de respaldo— se vuelve más fácil.
Capa 2: revela lo mínimo. No puedes negarte a la agencia tributaria, pero la mayor parte de la extracción de datos no es legalmente obligatoria. El programa de fidelización, el campo opcional del perfil, el «verifica con tu documento de identidad» en un servicio que no lo necesita: cada uno es un depósito que puede filtrarse más adelante. Trata cada revelación opcional como un futuro aviso de filtración con tu nombre encima. El control de privacidad más eficaz es el dato que nunca se recolectó. Para una auditoría práctica de lo que ya se escapó tras años de redes sociales —y de por qué eliminar rara vez lo borra— mira hasta qué punto es permanente tu huella digital.
Capa 3: compartimenta tu identidad. Yo mantengo una dirección de correo distinta para cada contexto importante —finanzas, salud, vida pública— para que una base de datos filtrada no pueda enlazarse con las demás. Un gestor de contraseñas como el de código abierto Bitwarden hace viables las credenciales únicas por sitio, y un proveedor como Proton Mail admite alias por servicio que puedes quemar si se filtran. Compartimentar no detiene una filtración; impide que una filtración se convierta en todas. (Para la versión más profunda de esto —seudónimos y separación jurisdiccional— mira el trabajo de Cora sobre la identidad autosoberana.)
Capa 4: blinda los identificadores que no puedes cambiar. Algunos datos son permanentes: tu número de la Seguridad Social, tu fecha de nacimiento, tus datos biométricos. Como no puedes rotarlos, los defiendes en el punto de uso. En Estados Unidos, congela tu crédito en las tres grandes agencias de crédito de EE. UU. —Equifax, Experian y TransUnion (las empresas que guardan tu historial crediticio)—, lo que bloquea la apertura de cuentas nuevas a tu nombre; es gratis y reversible. Suma alertas de fraude. Y pasa tus accesos importantes a la autenticación multifactor por hardware (MFA, una segunda verificación además de la contraseña; aquí, una llave de seguridad física, el factor más fuerte), para que un número robado por sí solo no abra la puerta. Esta es la única capa donde las listas de respuesta a incidentes y esta arquitectura coinciden; la diferencia es que aquí es higiene permanente, no una reacción de pánico.
Capa 5: separa tus herramientas y tus jurisdicciones. Reparte tu confianza entre proveedores y regímenes legales que no estén todos al alcance del mismo actor. Mensajería cifrada para las conversaciones sensibles, una VPN (red privada virtual, que enmascara tu conexión) sin registros como Mullvad para romper el vínculo entre tu red y tu actividad, y almacenamiento que no esté concentrado bajo una sola empresa o un solo gobierno. La meta es que ninguna filtración, citación judicial o relación con un proveedor exponga el cuadro completo.
Fíjate en lo que esta arquitectura no exige: no exige que la institución sea de fiar. Ese es el punto. Cada capa es un control que tú sostienes, no una promesa que te dan.
Si ya estás expuesto#
Si tus datos están en una de estas filtraciones —y, estadísticamente, ya lo están—, los pasos inmediatos son pocos, pero vale la pena darlos hoy, antes de la arquitectura permanente de más arriba. Estos son los pasos que trato como no negociables; tómalo como triaje, no como el tratamiento completo.
- Congela tu crédito en los tres burós (gratis, en línea, reversible). Es la acción individual de mayor palanca.
- Activa alertas de fraude en tus cuentas financieras y enciende las notificaciones de transacciones.
- Da por comprometidos los identificadores permanentes. Un número de la Seguridad Social filtrado no caduca; rota todo lo que puedas (contraseñas, números de cuenta) y defiende el resto en el punto de uso.
- Pasa a MFA por hardware primero en el correo y en las finanzas: el correo es la vía de recuperación de todo lo demás.
- Vigila el phishing dirigido. Los datos filtrados vuelven personales las estafas; quien te llama conociendo tus datos reales está usando información filtrada, no una prueba de legitimidad.
Estos pasos cierran la ventana inmediata. La arquitectura por capas es lo que impide que la próxima filtración —y la habrá— te cueste de la misma manera dos veces.
Preguntas frecuentes#
¿Puedo demandar al gobierno por filtrar mis datos?#
A veces, pero rara vez es un remedio con el que puedas contar. Las reglas de inmunidad soberana, los topes a las indemnizaciones y la dificultad de probar un daño concreto vuelven lentos e inciertos los litigios por filtración del gobierno. Trata la acción legal como un posible añadido, no como una defensa: tu arquitectura por capas es lo que de verdad reduce tu exposición.
¿Basta con congelar el crédito?#
No, pero es la mejor acción individual. Congelar el crédito bloquea la mayoría del fraude de apertura de cuentas, pero no hace nada contra el robo de identidad médica, el fraude fiscal o el uso indebido de un número de la Seguridad Social filtrado fuera de las solicitudes de crédito. Combínalo con alertas de fraude, MFA por hardware y compartimentación de la identidad.
Si los datos ya se filtraron, ¿no es inútil defenderse?#
No. La mayor parte del daño de una filtración ocurre después de la exposición, cuando los datos filtrados se usan para abrir cuentas, suplantarte o armar estafas dirigidas. Congelar el crédito y reforzar tus accesos bloquea el paso de la explotación incluso cuando los datos de base ya están fuera.
¿Esto solo se aplica a Estados Unidos?#
Los detalles cambian —congelar el crédito es un mecanismo estadounidense y el caso del NHS es británico—, pero la arquitectura es universal. Todos los países agregan datos de sus ciudadanos y externalizan su tratamiento. La minimización, la compartimentación y la protección de los identificadores permanentes valen vayas donde vayas.