El impacto real de la filtración de datos de 2026 en Ecuador
1. El incidente
El 4 de mayo de 2026, la plataforma de monitoreo de amenazas VECERT Analyzer detectó la publicación de una base de datos atribuida al Registro Civil del Ecuador en foros clandestinos de la dark web.
La filtración incluye:
- 14,8 millones de registros de identidad ciudadana
- 10,6 millones de imágenes de alta resolución de cédulas de identidad
- 165 GB de fotografías faciales tipo carnet
- Huellas dactilares, firmas digitalizadas y datos biométricos asociados al sistema nacional de identificación
Días antes, el 28 de abril de 2026, ya se había alertado sobre una filtración masiva de 17 millones de registros atribuida a la Agencia Nacional de Tránsito (ANT), incluyendo nombres completos, cédula, RUC, correos, dirección y datos de vehículos.
2. Antecedente histórico: filtración de 2019
Este no es el primer incidente masivo. En septiembre de 2019, la firma vpnMentor detectó una fuga de 18 GB de datos de casi toda la población ecuatoriana (aprox. 20,8 millones de registros) alojados en un servidor desprotegido en Miami.
La información incluía:
- Nombres completos, género, fecha y lugar de nacimiento
- Direcciones, correos electrónicos, teléfonos
- Estado civil, nivel educativo, historial laboral
- Datos crediticios, placas y modelos de vehículos
- Incluso datos del presidente Lenín Moreno y su familia
Hallazgo clave: El Ministerio de Telecomunicaciones confirmó que la empresa Novaestrat (con exfuncionarios públicos entre sus fundadores) había obtenido ilegalmente bases de datos de al menos cinco entidades: Registro Civil, Biess, ANT, SRI y Senescyt. No fue un hackeo externo, sino un robo de información desde dentro por exfuncionarios del régimen anterior.
3. Estado de la protección de datos en Ecuador
Según la Superintendencia de Protección de Datos, a fines de 2025 se registraron:
| Indicador | Cantidad |
| Denuncias totales | 271 |
| En sustanciación | 55 |
| Pendientes | 132 |
| Procedimientos sancionatorios iniciados | 7 (6 en fase de sustanciación) |
| Personal requerido para atender demanda | 107 personas |
4. Por qué esta filtración es diferente
A diferencia de una contraseña o correo que se pueden cambiar, los datos biométricos son únicos y permanentes.
Una vez expuestos, habilitan:
- Suplantación de identidad en bancos y servicios públicos
- Apertura fraudulenta de cuentas y solicitud de créditos
- Deepfakes y video-KYC falsificados usando las fotos de cédula
- Phishing hiper-personalizado que combina cédula + correo + dirección + vehículo
- Validaciones biométricas vulneradas en plataformas que solo verifican rostro contra cédula
5. Riesgos electorales por fase
En el contexto de las elecciones seccionales de 2026 en Ecuador, las filtraciones masivas representan un riesgo electoral crítico. Sin embargo, es necesario distinguir entre fases del proceso electoral, ya que en Ecuador no se utiliza biometría en las mesas de sufragio: el votante solo presenta su cédula física y un veedor realiza cotejo visual.
FASE 1: Pre-elección (padrón, inscripciones, duplicados de cédula)
Alta probabilidad. Impacto medio-alto.
Con 14,8 millones de registros del Registro Civil (nombres, cédulas, fechas de nacimiento, direcciones, fotos de cédula, huellas dactilares y firmas), un actor malintencionado puede:
| Tipo de ataque | Cómo se ejecuta | Impacto |
| Inscripción de votantes fantasmas | Usar datos de personas fallecidas o inactivas para crear nuevas inscripciones en el padrón | Inflar votación en ciertos sectores |
| Duplicados de cédula con fotografía alterada | Solicitar duplicado de cédula ante el Registro Civil usando los datos filtrados como ‘prueba de identidad’; con esa nueva cédula, solicitar cambio de domicilio electoral | Desplazar votantes estratégicamente hacia jurisdicciones clave |
| Cambio de domicilio electoral fraudulento | Usar cédula recién obtenida (vía duplicado alterado) para tramitar cambio de dirección ante el CNE | Votantes legítimos quedan inscritos donde no residen, o se inscriben ‘fantasmas’ en zonas puntuales |
Nota técnica: El CNE no acepta firmas digitalizadas ni trámites de cambio de domicilio únicamente con datos por internet. El vector de ataque real es la obtención previa de un duplicado físico de cédula con los datos filtrados, para luego usar ese documento en trámites presenciales o híbridos.
FASE 2: Día de la elección (coerción, desinformación, intimidación)
Probabilidad media. Impacto alto.
Los datos filtrados habilitan tácticas que operan fuera de la mesa electoral, sobre el votante mismo:
- Coerción directa: grupos criminales o estructuras políticas usan datos personales + dirección + vehículo (ANT) para identificar votantes vulnerables y presionarlos.
- Desinformación hiperpersonalizada: uso de teléfonos, correos y direcciones filtrados para enviar mensajes falsos atribuidos al CNE (‘su mesa cambió’, ‘su cédula está anulada’, ‘debe votar en otro recinto’).
- Microtargeting de desinformación: segmentar por edad, lugar de nacimiento, nivel educativo para enviar información falsa sobre candidatos locales vía WhatsApp masivo, SMS (smishing) o correos personalizados.
FASE 3: Post-elección (escrutinio, resultados, desconfianza)
Baja probabilidad. Impacto muy alto.
Si los datos filtrados incluyen información de funcionarios públicos (como ocurrió en 2019, donde se expusieron datos del presidente y su familia), los atacantes pueden:
- Spear-phishing a autoridades electorales: correos ultra-personalizados para infectar redes del CNE y acceder a sistemas de escrutinio.
- Alteración o paralización de resultados preliminares: comprometer la integridad del conteo electrónico o publicar resultados falsos para generar desconfianza.
- Ataques DDoS el día de la votación: paralizar la consulta de resultados online para sembrar dudas sobre la legitimidad del proceso.
Contexto alarmante: El Registro Civil confirmó que entre 2024 y 2025 bloqueó 3,5 millones de intentos de ataques cibernéticos, muchos previos a procesos eleccionarios y provenientes de países como Venezuela, Colombia, México y España. Esto indica que los sistemas de identidad ya son objetivo electoral.
6. Lo que NO es un riesgo inmediato
Es importante no exagerar la amenaza tecnológica en la mesa electoral:
| Escenario descartado | Razón |
| Suplantación de votante en mesa usando datos biométricos filtrados | No hay lector de huella, escáner facial ni captura biométrica en el recinto. El veedor compara rostro vs. foto de cédula física. Los datos filtrados no permiten ‘hackear’ una mesa manual. |
| Fraude con deepfake en tiempo real en la mesa | Sin sistema biométrico automatizado, no hay superficie de ataque tecnológica en el lugar de votación. |
| Voto electrónico hackeado | Ecuador no utiliza voto electrónico ni automatizado en elecciones seccionales. |
7. Conclusión
“Los datos biométricos, una vez expuestos, no se pueden ‘cambiar de contraseña’.”
Las filtraciones de 2026 NO facilitan el fraude directo en la mesa electoral ecuatoriana porque no hay biometría en el sufragio. El votante sólo usa su cédula física y un cotejo visual. Pero SÍ facilitan el fraude en la preparación del proceso: padrón, inscripciones, duplicados de cédula y coerción al votante.
El peligro electoral no es tecnológico en el recinto de votación. Es administrativo y humano: quien controle los sistemas del CNE y el Registro Civil antes del día de la elección, o quien use los datos filtrados para intimidar votantes, tiene una ventaja que la cédula física en la mesa no puede neutralizar.
La seguridad del voto ecuatoriano depende ahora de la integridad de sus funcionarios públicos y de la vigilancia ciudadana sobre el padrón, no de la tecnología en las urnas.
Fuentes
1. VeegSoft. Hackeo al Registro Civil de Ecuador: lo que empresas deben saber. Mayo 2026. Disponible en: https://veegsoft.com/blog/hackeo-registro-civil-ecuador-ciberseguridad-empresas
2. DPL News. Tras masiva filtración, advierten que venta de datos personales no es nueva en Ecuador. Septiembre 2019. Disponible en: https://dplnews.com/tras-masiva-filtracion-advierten-que-venta-de-datos-personales-no-es-nueva-en-ecuador/
3. Vistazo. Hackeo a información del Registro Civil del Ecuador y la Ley de Protección de Datos. Mayo 2026. Disponible en: https://www.vistazo.com/actualidad/nacional/2026-05-05-hackeo-informacion-registro-civil-ecuador-ley-proteccion-datos-criterios-GK10925892
| Riesgo | ¿Cómo te toca? | ¿Qué puedes hacer? | Riesgo |
| Créditos fraudulentos | Deudas a tu nombre que no contrajiste | Revisar central de riesgos periódicamente; alertar a bancos | Créditos fraudulentos |
| Phishing personalizado | Te engañan porque saben todo de ti | Desconfiar de cualquier mensaje que cite tu cédula; verificar directamente con la entidad | Phishing personalizado |
| Duplicado de cédula falso | Alguien vota, firma o compra con tu identidad | Verificar tu estado en el Registro Civil; reportar si hay duplicados no solicitados | Duplicado de cédula falso |
Tus hijos también están expuestos
En la filtración de 2019 se confirmó que había datos de 6,7 millones de menores de edad. Si tu hija Raphaella está inscrita en el Registro Civil o en instituciones educativas, sus datos también pueden estar ahí:
- Usan la identidad de menores para cuentas bancarias fantasma (menos vigiladas).
- Phishing dirigido a adolescentes usando datos de los padres para ganar confianza.
- Riesgos de grooming cuando un adulto malintencionado tiene acceso a datos familiares completos.
Lo peor: no puedes “cambiar la contraseña”
- Si te roban el correo, creas otro. Si te clonan la tarjeta, la cancelas. Pero si te roban tu huella dactilar, tu foto de cédula y tu firma digitalizada:
- No puedes cambiar tu rostro.
- No puedes cambiar tu huella.
- No puedes cambiar tu firma (legalmente sigue siendo válida).
- Eso significa que una vez que esos datos están en la dark web, están ahí para siempre. En 5, 10 o 20 años alguien puede usarlos contra ti o contra tu hija.
La realidad cruda: El ciudadano común ecuatoriano ahora vive en un país donde cualquier estafador, desde una call center en Guayaquil hasta un hacker en otro continente, puede saber dónde vives, qué carro tienes, cuánto debes al IESS, cómo firmas y cómo te ves. Y el Estado, con su Superintendencia de Protección de Datos recién nacida y sin personal suficiente, no está preparado para defenderte.
Esto no es paranoia. Es el nuevo contexto de vida en Ecuador después de mayo de 2026.
Investigación y redacción por: Diana Maldonado Lasso
