Nombres completos, números de cédulas, teléfonos, direcciones, correos electrónicos y otros datos sensibles de millones de venezolanos circulan hoy en internet o son vendidos en foros clandestinos. La fragilidad de la ciberseguridad se suma así a la larga lista de fallas estructurales que persisten en Venezuela.
En apenas cuatro meses de 2026 se han reportado al menos siete filtraciones masivas de datos que comprometen tanto a empresas privadas como a instituciones del Estado.
Yummy Rides, Cashea, Kontigo y Krece figuran entre las afectadas. Sin embargo, uno de los casos más alarmantes fue la sustracción de cerca de 27,6 millones de registros de contribuyentes —entre personas naturales y empresas— del Seniat (Servicio Nacional Integrado de Administración Aduanera y Tributaria).
Ese mismo mes también trascendió una filtración de datos de Pdvsa (Petróleos de Venezuela). A ello se suman reportes sobre una posible vulneración de los sistemas del Cicpc (Cuerpo de Investigaciones Científicas, Penales y Criminalísticas) y del Sebin (Servicio Bolivariano de Inteligencia Nacional). Sin embargo, dicha información no ha sido confirmada ni por autoridades ni por organizaciones especializadas en ciberseguridad.
Cuatro meses atrás tuvo lugar la captura y extracción de Nicolás Maduro hacia Estados Unidos, un hecho que reavivó la esperanza de una transición política y de una nueva elección presidencial. Aunque el chavismo ha evadido el tema, la Constitución Nacional establece la convocatoria a elecciones ante la falta absoluta del Jefe de Estado.
En ese contexto, las filtraciones representan mucho más que un riesgo de estafas o robo de identidad. La exposición masiva de información sensible también puede convertirse en una herramienta política, especialmente en un país que carece de una legislación sólida en materia de privacidad de datos personales.
Para profundizar en estos riesgos, el equipo de La Gran Aldea conversó con la abogada venezolana María José Castro, fundadora de Castroland Legal, firma con sede en Estados Unidos especializada en derecho de ciberseguridad, gobernanza de inteligencia artificial y protección de datos.
¿Qué riesgos trae una filtración masiva en época de elecciones?
—Una filtración de datos en cualquier momento es grave, pero en época electoral cambia de categoría. Los datos dejan de ser un tema de privacidad personal y se convierten en una herramienta política. Cuando alguien tiene tu cédula, tu dirección, tu teléfono, tus contactos y, además, puede inferir tus preferencias políticas, puede hacer varias cosas, y ninguna buena.
Mandar mensajes diseñados específicamente para asustar, manipular o desmovilizar a un votante. A esto se le llama microtargeting y es exactamente lo que demostró el caso Cambridge Analytica en 2018.
Intimidar de manera selectiva. Un testigo de mesa, un activista o un votante puede recibir un mensaje con su dirección exacta o el nombre de sus hijos. Eso es coacción, y los datos filtrados la hacen posible.
Suplantar identidades para votar en nombre de otros, sobre todo cuando los controles son débiles.
Hacer las estafas y la desinformación mucho más creíbles, porque el atacante ya sabe quién eres y qué te preocupa.
Erosionar la confianza institucional. Cada filtración hace que la gente confíe menos en el Estado, y una democracia donde nadie confía en nada es una democracia frágil.
¿Qué pasa en Venezuela para que haya tantas filtraciones?
—Porque se juntaron varias cosas y ninguna se resolvió a tiempo. No existe una ley moderna de protección de datos. Lo que hay está disperso entre la Constitución, la Ley de Infogobierno y normas sectoriales. Tampoco existe una autoridad independiente con capacidad para vigilar, sancionar y obligar a cumplir estándares mínimos. Brasil, Colombia y Argentina ya tienen leyes similares al GDPR europeo. Venezuela sigue esperando.
La infraestructura tecnológica del Estado está desactualizada: sistemas viejos, sin parches, sin cifrado y sin monitoreo.
Además, demasiadas personas tienen acceso a demasiados datos. En muchas instituciones un funcionario puede consultar bases completas sin dejar rastro.
También existe un mercado negro activo. Los datos se venden y, mientras haya quien pague, seguirá habiendo filtraciones desde adentro. Muchas de las grandes filtraciones en Venezuela no son hackeos espectaculares, sino trabajos internos.
A eso se suma la impunidad: no hay casos públicos relevantes de funcionarios sancionados. Y donde no hay consecuencias, el problema se repite. Los profesionales especializados emigraron y los equipos que quedan están sobrecargados y mal pagados.
Algunos antecedentes
La abogada María José Castro recuerda que este tipo de casos no ocurren solo en Venezuela.
En Estados Unidos, en 2015, fueron filtrados datos de 21,5 millones de empleados federales, incluidos formularios de seguridad nacional con huellas dactilares.
En Argentina, en 2021, se filtró la base completa del Renaper con datos de 45 millones de ciudadanos. Chile sufrió filtraciones de correos institucionales y datos de personal de Carabineros y del Estado Mayor.
Brasil sufrió en 2021 una filtración de datos de 223 millones de personas, mientras que en México fueron filtrados seis terabytes de información militar por el grupo Guacamaya.
—El patrón es claro. Lo que diferencia a unos países de otros no es si les pasa, sino cómo responden. Los que tienen marcos legales fuertes notifican, sancionan y aprenden. Los que no, repiten el ciclo.
¿Qué riesgos representa una posible filtración de datos de cuerpos de seguridad del Estado?
—Es particularmente grave. Si hay funcionarios afectados, existe un riesgo físico directo: identidades, direcciones, vehículos, familiares y rutinas pueden quedar expuestos a grupos criminales.
También aumenta el riesgo de extorsión y reclutamiento forzado. Agentes encubiertos, informantes y operaciones en curso pueden quedar comprometidos.
Para la población, el problema es igual de delicado. Si se filtran expedientes, víctimas de violencia de género, trata o crimen organizado pueden quedar expuestas. Además, actores criminales pueden hacerse pasar por funcionarios para extorsionar o estafar.
Cuando denunciar implica que tus datos terminen circulando en Telegram, la gente deja de denunciar.
También existe el uso político de la información: datos sobre disidentes, periodistas, activistas o manifestantes detenidos pueden ser reutilizados para persecución.
¿Qué puede hacer la población para protegerse?
La especialista recomienda asumir que los datos básicos —cédula, teléfono, correo y dirección— probablemente ya están filtrados. La clave es impedir que esa información sea suficiente para hacer daño.
Entre las principales recomendaciones están activar la autenticación en dos pasos, usar contraseñas distintas para cada servicio, desconfiar de llamadas o mensajes urgentes y evitar compartir demasiada información personal en redes sociales.
También aconseja tener palabras clave familiares para verificar identidades en casos de falsas emergencias, denunciar incidentes aunque la respuesta institucional sea limitada y educar especialmente a las personas mayores sobre estafas digitales.
¿Qué controles hacen falta?
Además de una ley integral de protección de datos, Castro considera necesario establecer estándares mínimos obligatorios de ciberseguridad para instituciones públicas y operadores de infraestructura crítica, así como auditorías independientes y reportes públicos sobre brechas de seguridad.
También plantea la necesidad de obligar a reportar filtraciones en plazos definidos —el estándar internacional son 72 horas— y establecer sanciones para quienes oculten información.
A ello se suma la necesidad de invertir en talento, herramientas y formación continua, además de construir sistemas públicos con privacidad y control de accesos desde el diseño.