Más de 40 millones de datos personales de ciudadanos ecuatorianos se ofrecen a la venta en internet. La filtración incluye registros biométricos y accesos a sistemas sensibles de las Fuerzas Armadas.
Los paquetes illicitos contienen información del Sistema de Control de Permisos de Armas. También exponen datos de entidades financieras y documentos de contratos estatales. Entre estos figuran los relativos a la adquisición de grilletes electrónicos por parte del SNAI.
El origen real de los archivos sustraídos
El Registro Civil negó mediante su cuenta en X que la vulneración afectara a sus sistemas. Sin embargo el monitor Vecert Analyzer desmiente esta versión oficial con datos técnicos precisos.
La herramienta identifica que el ciberdelincuente GordonFreeman extrajo 14,8 millones de registros. También sustrajo 10,6 millones de imágenes del Ministerio de Salud Pública durante 2025. El atacante presentó estos archivos en 2026 haciéndolos pasar por datos del Registro Civil.
El método empleado combinó técnicas de ingeniería social y automatización. El delincuente utilizó un infostealer para obtener credenciales de navegadores de funcionarios y personal médico. Posteriormente aplicó herramientas de scraping para extraer historias clínicas y fotografías faciales.
"Lo que estamos viendo es una receta que el Estado ya se sabe de memoria: la doctrina de la negación. Ya lo hicieron con el ransomware de CNT en 2021 y con el caso Novastrat en 2019." - Portavoz, Centro de Autonomía Digital
Esta postura institucional recuerda incidentes anteriores no resueltos. En 2019 un servidor estatal mal configurado en Miami permitió la venta de datos de CNT. Aquella brecha también expuso información del Banco del Instituto Ecuatoriano de Seguridad Social bajo el gobierno de Lenin Moreno.
Silencio regulatorio y riesgos inmediatos
Las bases de datos comercializadas provienen de múltiples fuentes públicas y privadas. Los archivos sustraídos desde mediados de 2025 pertenecen a empresas como Azzorti EC y Speedycom. También incluyen información de Ticket Fácil, ahora Ticketstar365, y Tu Taxi Amigo.
Además el 29 de abril de 2026 se difundieron documentos de ministerios y gobiernos seccionales. Estos procedían de un repositorio del sistema Quipux. Pese a la magnitud el sitio web del Ecucert de la Arconel no registra alertas sobre estos incidentes.
El Centro de Autonomía Digital señala a los responsables de la seguridad operativa. Considera que el Ministerio de Telecomunicaciones y la Agencia de Regulación de las Telecomunicaciones han omitido sus funciones de alerta temprana. La norma ARCOTEL 2018-0652 obliga en sus artículos 30 y 34 a gestionar estos incidentes.
Los expertos advierten sobre las consecuencias prácticas de esta exposición masiva. Ola Bini indica que la filtración generará un aumento de estafas y correos de phishing. Los analistas de ciberseguridad temen el uso de esta información para entrenar inteligencia artificial y facilitar la suplantación de identidad.