— Edición 1.247 52 trackers verificados
ES EN
Política · Tecnología · Regulación digital  ·  donde los datos hablan antes que los titulares
Cifras del cierre
Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7 Sanciones AML/OFAC a bancos y fintech — 418 sanciones documentadas 418 sanciones AML/OFAC documentadas en 177 países y 379 reguladores. … Quiebras corporativas e insolvencia (Chapter 11) — 4 grandes quiebras corpor… Las quiebras corporativas alcanzan máximos de la década: más de 717 e… Índice de riesgo de litigios de alto impacto — 4 litigios de alto impact… El índice de riesgo (0-100) agrega cinco factores objetivos —etapa pr… Control de fusiones: decisiones de competencia … — 9 decisiones y marcos jur… El control de fusiones diverge por jurisdicción en 2026: la administr… PEP y redes de sanción · Grafo iberoamericano — 40 nodos PEP/empresa con m… Grafo PEP→empresa→sanción iberoamericano (núcleo: Mapa del Poder, 424… Estrés de deuda soberana y reestructuraciones — 5 casos de estrés/reestru… El 6º informe del Global Sovereign Debt Roundtable del FMI (15 de abr… Trabajo forzoso en cadena de suministro: listas… — 4 instrumentos de exposic… La inteligencia de exposición aguas arriba se densifica: la UFLPA Ent… AI Act EU — designación de autoridades nacionales — 3/10/14 / 27 Estados miembros Primer evento del tracker: 3 Estados con ambas autoridades / 10 parci… AI Act · Organismos notificados para evaluación… — 1 organismo con acreditac… Ecosistema 'no listo' a mar-2026 (normas sin publicar, designaciones … Brecha escándalo → condena — — hitos registrados +1 caso espejo: Uribe — 7 años para condenar, 8 semanas para revocar,… Brecha tecnología ↔ regulación — 26 hitos regulatorios +1: Perú cierra la brecha de la IA generativa en ~3 años (DS 115-2025… CNMC España · la brecha del Coordinador de Serv… — 6 hitos documentados La brecha se cronifica: el Congreso tumbó la habilitación legal de la… Brechas de datos corporativas: del incidente a … — 11 brechas documentadas +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de… Fricción migratoria en la movilidad corporativa… — 3 incidentes y políticas … El Mundial 2026 funciona como prueba de estrés en vivo: 39 países baj… Poder y corrupción ante los tribunales en Ibero… — 29 casos documentados Revisión jun-2026: Uribe actualizado — condena de primera instancia r… Cripto · Licencias y autorizaciones por jurisdi… — 40+ CASPs con autorización … Acantilado del 1-jul-2026: expira el régimen transitorio (ESMA, 17-ab… Brechas de datos · Acuerdos de demandas colectivas — 5 acuerdos y litigios mas… 271 millones de dólares en cuatro acuerdos con aprobación o cierre de… Índice de riesgo regulatorio digital por país — 16 países perfilados Revisión jun-2026: Brasil actualizado en dos capas (adecuación UE 26-… Impuestos a servicios digitales (DST) por país — 3 hitos del mapa fiscal d… Aproximadamente la mitad de los países europeos de la OCDE tiene DST … Riesgo electoral mundial 2026: democracia y ent… — 32 elecciones perfiladas 32 procesos electorales de 2026 perfilados por régimen político y rie… ESG · Enforcement contra el greenwashing — 3 hitos de enforcement do… El suelo legal llega el 27-sep-2026 (ECGT en los 27; transposición ve… UE · Calendario de plazos regulatorios digitale… — 6 hitos de calendario doc… Próximos plazos críticos: 23-jun-2026 cierra la consulta de la metodo… Controles de exportación · Entity List y chips … — 6 hitos del régimen docum… Giro de 2026: la licencia para H200/MI325X y equivalentes hacia China… GDPR · Transferencias internacionales y decisio… — 6 hitos del marco documen… El DPF EE.UU.-UE sigue vigente tras sobrevivir su primer desafío judi… LATAM · Proyectos de ley sobre IA en trámite le… — 150+ iniciativas identificad… Conteo 150+ re-verificado; hitos: Perú único país con ley reglamentad… LATAM · Sanciones judiciales y regulatorias a p… — $5,2M USD · multa a X Corp. e… Cambio de paradigma: el STF declaró parcialmente inconstitucional el … Gasto en publicidad política digital 2026 — 6 observaciones país-plat… Proyección AdImpact revisada (11-jun): $11.600M para el ciclo 2026 — … Flota en la sombra · Buques y facilitadores san… — 632 buques designados por l… +46 buques en el 20º paquete (Reg. 2026/506/509/511) hasta 632; el Ar… Recompensas a denunciantes · SEC, CFTC y progra… — 3 hitos de programas docu… La SEC adjudicó más de $60M a 48 denunciantes en el año fiscal 2025 (… AI Act · Régimen sancionador y su ejecución real — 0 multas AI Act documenta… 0 sanciones del AI Act emitidas hasta la fecha: el enforcement de las… Transparencia de beneficiario final (UBO / CTA … — 4 hitos de transparencia 4 hitos de transparencia de beneficiario final documentados; la UE ex… Criptoindustria: colapsos, sanciones y condenas — 13 casos documentados 13 casos de colapsos, sanciones y condenas en el sector cripto en 6 p… Daños por IA ante los tribunales — litigios, co… — 103 casos documentados 103 litigios por daños y derechos vinculados a la IA documentados; hi… DMA · guardianes de acceso designados y cumplim… — 9 actos DMA documentados 9 acciones de cumplimiento del DMA documentadas sobre guardianes de a… Desinformación electoral documentada 2026 — 7 campañas documentadas 7 campañas o patrones de desinformación electoral documentados con me… GDPR · qué autoridad nacional sanciona de verdad — 11 autoridades perfiladas 11 perfiles e hitos de aplicación del GDPR por país documentados; nov… LATAM · Cortes de internet y bloqueos de plataf… — 8 eventos documentados · … 8 episodios de cortes y bloqueos de internet documentados en América … Resiliencia operacional y ciberseguridad (DORA … — 4 hitos regulatorios 4 hitos de resiliencia operacional documentados; 2026 es el primer ci… Multas digitales efectivamente impuestas — 61 sanciones registradas 61 sanciones de alto valor en 18 jurisdicciones y 6 continentes; cubr… Spyware comercial: casos documentados en el mundo — 23 casos documentados 23 casos de spyware y vigilancia documentados en el espacio iberoamer… Cumplimiento comercial y trabajo forzoso (UFLPA) — 4 acciones documentadas 4 acciones de cumplimiento comercial por trabajo forzoso documentadas… EE.UU. · el patchwork estatal de regulación de IA — 10 normas e hitos 10 leyes o hitos estatales de IA documentados en EE.UU.; novedad de 2… Integridad digital electoral 2026 — 13 elecciones perfiladas 13 elecciones perfiladas por integridad digital; 5 con publicidad pol… Clima: la brecha entre el compromiso y la acción — 12 países evaluados 12 países evaluados por el Climate Action Tracker: 10 con una acción … Moderación de contenido: apelaciones y reversiones — 19 decisiones documentadas 19 decisiones de moderación apeladas y revisadas, con su política, ac… Gasto público en IA — contratos gubernamentales… — 50 contratos documentados 50 contratos públicos de IA en 15 jurisdicciones de 5 continentes (45… Promesas de campaña → cumplimiento — 29 evaluaciones de mandato 29 mandatos evaluados en 25 países de cinco continentes UE · Decisiones de cumplimiento DSA consolidadas — €120M primera multa DSA · X ·… 5 Estados miembros referidos al CJEU por implementación insuficiente … LATAM · Gasto digital en campañas electorales 2026 — $14.794M COP · mayor gasto decla… Solo 8 de 13 campañas habían reportado en Cuentas Claras a mediados d… Iberoamérica · contratos públicos con IA genera… — 3 contratos verificados c… Inicio del registro DC · barrido manual mensual en curso RSF · Libertad de prensa en América Latina — 144 posición de Perú (la ca… AR -11 · PE -14 · SV -8 · EC -31 · USA -7
/ trackers / corporate-data-breaches
Ciberseguridad y responsabilidad

Brechas de datos corporativas: del incidente a la respuesta

Registro de las grandes brechas de datos corporativas y, sobre todo, de cómo respondió cada empresa. No mide solo cuántos registros se expusieron: mide la conducta de notificación —si la empresa avisó a tiempo a los afectados y al regulador, si tardó o si lo ocultó— y el desenlace (acuerdo, multa, demanda colectiva). Esa es la brecha que importa para la debida diligencia: dos empresas pueden sufrir un incidente parecido y comportarse de forma opuesta, y eso define el riesgo reputacional y legal. Cada registro documenta la empresa, el número de afectados, el tipo de dato, la conducta de notificación y el desenlace, con su fuente.

Snapshot · 12 de junio de 2026
11
brechas documentadas
↑ +1: Canvas/Instructure, la mayor brecha educativa conocida (≈275 M de registros según el atacante), con rescate pagado

Evolución

Análisis de los datos

Lecturas estadísticas derivadas de los atributos de cada caso registrado. Todas las cifras proceden de los eventos documentados; los importes se calculan solo sobre los casos con cantidad expresada en la moneda indicada, sin convertir entre divisas.

Conducta de notificación

Cómo respondió cada empresa al incidente: notificó a tiempo, con retraso, lo ocultó o está en disputa. El campo más diferencial del rastreo.

Sector

El sector de la empresa afectada: tecnología, finanzas, salud, hostelería, telecomunicaciones, etc.

Tipo de desenlace

Cómo se resolvió el caso: acuerdo extrajudicial, multa de regulador, demanda colectiva o investigación abierta.

Personas afectadas (millones)

El número de personas o registros afectados por cada brecha, en millones, según lo declarado o lo alegado en el acuerdo.

Calculado sobre 11 de 11 eventos con dato disponible

Lectura de los datos

Cuando una empresa sufre una brecha de datos, el número de afectados acapara el titular. Pero para la debida diligencia importa más otra cosa: cómo se comportó. ¿Avisó a tiempo a los afectados y al regulador, tardó meses, o lo ocultó? Dos compañías con incidentes parecidos pueden responder de forma opuesta, y eso define el riesgo real. Este rastreo mide la conducta, no solo el daño.

YV
Yaneth Vickari S. · Experta en regulación digital · Madrid
26 de mayo de 2026 · 6 min de lectura

Las brechas de datos se cuentan, casi siempre, por su tamaño: 131 millones de afectados en Marriott, 147 en Equifax. Esa cifra es real y grave, pero es también la parte menos informativa para quien tiene que evaluar el riesgo de una empresa. Porque sufrir un incidente, en un mundo de ciberataques constantes, le puede pasar a cualquiera. Lo que distingue a una compañía de otra no es haber sido atacada, sino cómo respondió. Este rastreo está construido alrededor de esa segunda pregunta.

Por eso el campo central no es el número de afectados, sino la conducta de notificación: si la empresa avisó a tiempo a los afectados y al regulador, si tardó, o si directamente lo ocultó. Son categorías con consecuencias legales muy distintas. Notificar con retraso agrava la sanción en casi todos los marcos; ocultar una brecha puede convertir un incidente técnico en un caso de responsabilidad penal de los directivos, como ilustra el escrutinio sobre Clearview AI.

De las siete brechas documentadas, solo una empresa notificó a tiempo. Tres notificaron con retraso, dos están en disputa sobre su conducta y una ocultó el incidente. El desenlace se reparte entre multas de regulador y acuerdos extrajudiciales —y conviene no confundirlos: un acuerdo, como el de 23andMe, suele cerrarse sin admisión de culpa, mientras que una multa firme sí declara la infracción.

Por qué es una herramienta de debida diligencia

Para un CISO, una aseguradora de ciberriesgo, un despacho o un equipo de compliance que evalúa a un proveedor o a un objetivo de adquisición, este rastreo responde la pregunta que de verdad importa: ¿cómo se comporta esta empresa cuando las cosas salen mal? Una compañía que notificó a tiempo y cooperó con el regulador es un riesgo muy distinto de una que ocultó el incidente durante meses, aunque el número de registros expuestos sea idéntico. El historial de conducta es predictivo de un modo que el tamaño del incidente no lo es.

El caso de Equifax muestra además la cola larga de estos eventos: la brecha de 2017 sigue generando obligaciones que aparecen como factor de riesgo en sus registros ante la SEC casi una década después. Una brecha no se cierra cuando se paga la multa; deja una huella en la gobernanza de la empresa que el rastreo permite seguir en el tiempo. Esa trazabilidad —empresa, conducta, desenlace, fecha— es exactamente lo que convierte una sucesión de titulares en un activo de inteligencia.

Nota metodológica

Cada registro documenta una brecha con su empresa, sector, afectados, tipo de dato, conducta de notificación y desenlace, atribuidos a su fuente (autoridades de protección de datos, acuerdos con fiscalías estatales, registros SEC, recopilaciones especializadas). La conducta se clasifica a partir de lo que constató el regulador o el acuerdo. Se distingue entre acuerdo (sin admisión de culpa) y multa firme. El número de afectados es el declarado o el alegado en el acuerdo; cuando no se especifica, se anota así y no se computa en la gráfica de afectados. No se imputan cifras no publicadas.

Este es un tema sensible; el rastreo se limita a casos con resolución pública y atribuye toda valoración a su fuente. Es infraestructura informativa, no asesoría jurídica ni de seguridad.

Eventos documentados (11)

1 de mayo de 2026 US confirmed

EE.UU. · Canvas/Instructure: la mayor brecha educativa conocida; la empresa pagó el rescate

El grupo ShinyHunters accedió hacia el 25 de abril de 2026 a la plataforma educativa Canvas (Instructure) a través de una vulnerabilidad en el servicio Free-For-Teacher, divulgándose la brecha el 1 de mayo y registrándose una segunda oleada contra unos 330 portales el 7 de mayo. Los atacantes afirman haber extraído 3,65 TB con unos 275 millones de registros de 8.809 instituciones, lo que la convertiría en la mayor brecha del sector educativo conocida; las cifras de alcance provienen del atacante y no han sido verificadas de forma independiente. El 11 de mayo, Inside Higher Ed confirmó que Instructure alcanzó un acuerdo y pagó el rescate, decisión que reabrió el debate sobre si pagar protege a los afectados o financia la siguiente campaña.

1 de junio de 2025 DE confirmed

Vodafone Alemania: 45 M€ en dos multas por fallos de seguridad y supervisión de terceros

El comisionado federal de protección de datos de Alemania multó a Vodafone GmbH con 45 millones de euros combinados en 2025: 30 millones por fallos de seguridad en la autenticación del portal MeinVodafone que permitían acceso no autorizado a perfiles eSIM, y 15 millones por no supervisar adecuadamente contratos con agencias externas.

1 de abril de 2024 US confirmed

Verizon: 46,9 M$ de multa de la FCC por compartir datos de localización de clientes

La FCC multó a Verizon con 46,9 millones de dólares en abril de 2024, como parte de una acción conjunta contra las grandes operadoras por compartir datos de localización de clientes sin consentimiento adecuado. El caso ilustra el frente regulatorio de la privacidad de la localización en EE.UU.

26 de agosto de 2024 NL confirmed

Uber: 290 M€ de multa de la autoridad neerlandesa por transferir datos de conductores a EE.UU.

En agosto de 2024, la autoridad neerlandesa de protección de datos multó a Uber con 290 millones de euros por transferir datos sensibles de conductores europeos a Estados Unidos sin las garantías adecuadas. Es una de las mayores multas de protección de datos del año.

9 de octubre de 2024 US confirmed

Marriott: 52 M$ de acuerdo con 50 estados por una brecha multi-año (131 millones de afectados)

Marriott alcanzó en 2024 un acuerdo de 52 millones de dólares con los 50 estados de EE.UU. por una brecha de datos de varios años que afectó a más de 131 millones de usuarios de su base de reservas Starwood. Las acusaciones incluían el incumplimiento de leyes de protección al consumidor y de estándares de seguridad de datos.

22 de julio de 2019 US confirmed

Equifax: hasta 700 M$ de acuerdo por la brecha de 2017 que sigue vinculando a la empresa

La brecha de Equifax de 2017 expuso datos crediticios y de identidad de unos 147 millones de personas. El acuerdo posterior con la FTC y los estados alcanzó hasta 700 millones de dólares. La empresa sigue sujeta a obligaciones derivadas de ese acuerdo, que aparecen como factor de riesgo en sus registros ante la SEC años después.

1 de septiembre de 2024 NL confirmed

Clearview AI: 30,5 M€ por construir una base de reconocimiento facial ilegal con scraping

En septiembre de 2024, la autoridad neerlandesa multó a Clearview AI con 30,5 millones de euros por construir una base de reconocimiento facial ilegal scrapeando miles de millones de imágenes de internet sin consentimiento. Además de la multa, la DPA neerlandesa estudia responsabilizar personalmente a los directivos y prevé pagos adicionales si las infracciones continúan.

20 de mayo de 2026 US confirmed

EE.UU. · Charter Communications: la brecha de 4,9 millones que solo se conoció tras la filtración

La brecha de Charter Communications (marca Spectrum) se hizo pública únicamente después de que el grupo de extorsión ShinyHunters listara a la empresa en su sitio de filtraciones y publicara los datos al no recibir el rescate. El servicio Have I Been Pwned confirmó 4,9 millones de direcciones de correo únicas afectadas, con nombres, teléfonos y direcciones físicas. Charter confirmó el incidente pero disputó el alcance reclamado por los atacantes (más de 42 millones de registros y datos CPNI), afirmó que no se exfiltró información personal sensible y, según reportes, aún no había emitido notificaciones individuales a los clientes afectados. El ataque habría comenzado con una llamada de phishing de voz (vishing).

27 de mayo de 2026 US confirmed

EE.UU. · Carnival: casi 6 millones de afectados y notificación seis semanas después de detectar la brecha

Carnival Corporation, el mayor operador de cruceros del mundo, notificó a 5.995.277 clientes una brecha de datos. Según su propia cronología, la intrusión ocurrió el 10 de abril, su equipo de seguridad detectó la actividad no autorizada el 14 de abril —un actor usó ingeniería social para engañar a un empleado— y el 22 de abril confirmó que se habían copiado datos personales. Sin embargo, las cartas de notificación y la página del incidente no salieron hasta el 27 de mayo de 2026, casi seis semanas después de la detección; la empresa atribuyó el retraso al análisis de los archivos para asociar los datos a cada persona. Los datos incluían nombres, direcciones, fechas de nacimiento y números de identificación oficial (licencias y pasaportes). El grupo ShinyHunters reclamó la autoría y, tras fracasar la extorsión, publicó los datos.

19 de marzo de 2026 US confirmed

EE.UU. · Aura: la empresa de protección de identidad que sufrió su propia brecha de 900.000 registros

Aura, empresa de seguridad digital de consumo con sede en Massachusetts que vende protección contra el robo de identidad y monitoreo de crédito, divulgó en marzo de 2026 una brecha que afectó a unos 900.000 registros. Un tercero no autorizado accedió a una cuenta de empleado mediante un ataque dirigido de phishing de voz y obtuvo nombres, direcciones, teléfonos, correos y datos de una base de marketing. El grupo ShinyHunters reclamó la autoría. El caso atrajo atención por su ironía: una compañía que vende protección de identidad fue ella misma vulnerada. La empresa divulgó el incidente públicamente.

1 de septiembre de 2024 US confirmed

23andMe: 30 M$ de acuerdo por una brecha de datos genéticos sin autenticación multifactor

La empresa de pruebas genéticas 23andMe alcanzó en 2024 un acuerdo de 30 millones de dólares tras una demanda colectiva por una brecha que expuso datos de ascendencia de clientes. Las cuentas comprometidas no estaban protegidas con autenticación multifactor y los atacantes habrían usado credenciales reutilizadas. 23andMe negó haber cometido infracción en el acuerdo.

Metodología

Tipo
event-log
Construcción
Multi-fuente verificada
Cadencia
evento a evento

Cada registro documenta una brecha de datos corporativa con su empresa, sector, número de registros o personas afectadas (según lo declarado o lo alegado en el acuerdo), tipo de dato comprometido, conducta de notificación y desenlace. La conducta de notificación se clasifica en categorías verificables —notificó a tiempo, notificó con retraso, ocultó/encubrió, en disputa— a partir de lo que constató el regulador o el acuerdo, atribuido a su fuente. El importe es el del acuerdo o la multa cuando existe; se distingue entre acuerdo (settlement, sin admisión de culpa) y multa firme. No se imputan cifras no publicadas. La cobertura prioriza casos con resolución pública (acuerdo, multa o sentencia) por su valor de debida diligencia.

Fuentes consultadas

  1. Autoridades de protección de datos (DPC Irlanda, AP Países Bajos, AEPD, FTC, FCC) ↗ official
  2. Acuerdos judiciales y class actions (fiscalías estatales de EE.UU.) ↗ official
  3. Registros SEC (8-K de incidentes materiales de ciberseguridad) ↗ official