Hackeados, filtrados y secuestrados: brechas de seguridad de 2026 hasta ahora

El año 2026 ha dejado claro que la ciberseguridad ya no es una preocupación secundaria; está en el centro de casi todas las grandes historias del año. Mientras las guerras continúan, el clima empeora y una nueva pandemia global parece inminente, una corriente digital subyacente lo conecta todo.

Las guerras se libran tanto en frentes digitales como físicos, los gobiernos utilizan los datos de sus ciudadanos como armas, las botnets socavan silenciosamente las instituciones democráticas, los hackers patrocinados por estados atacan infraestructuras civiles —desde redes eléctricas hasta sistemas de agua— y las bandas de ransomware toman como rehenes a empresas e instituciones a cambio de pagos masivos. Los ataques son cada vez más audaces, destructivos y difíciles de contener.

A medida que entramos en la segunda mitad de este ya terrible año de ataques digitales y guerra híbrida, analizamos algunos de los peores hackeos y brechas de seguridad hasta la fecha y cómo podrían afectarnos en el futuro.

Cronología de los Ciberataques Clave de 2026

Principios 2026 Miles de cuentas de Instagram son secuestradas explotando el chatbot de IA de Meta para restablecer contraseñas.
Marzo 2026 Hackers iraníes atacan a la empresa de tecnología médica Stryker, borrando remotamente decenas de miles de dispositivos de empleados.
Finales de Marzo El gigante juguetero Hasbro sufre un ciberataque que provoca semanas de inactividad en sus sistemas y sitio web.
Abril 2026 El FBI declara un ‘incidente cibernético mayor’ tras el compromiso de uno de sus sistemas de vigilancia.
En curso Campañas de hacking del grupo ShinyHunters y ataques a la cadena de suministro de software de código abierto afectan a cientos de empresas.

La masiva filtración de datos de la Seguridad Social por parte de DOGE

Un año después de que operativos del grupo conocido como Departamento de Eficiencia Gubernamental (DOGE), liderado por Elon Musk, desmantelaran agencias federales desde dentro, todavía estamos descubriendo las brechas de datos que ocurrieron bajo su supervisión. Tras la intervención de DOGE en la Administración de la Seguridad Social, sigue sin estar claro qué sucedió con algunos de los datos más sensibles de la nación, mientras las demandas continúan en los tribunales federales.

La denuncia más alarmante de un informante es que DOGE subió una copia en vivo de la base de datos de la Seguridad Social a un servidor de terceros no seguro. Esta base de datos supuestamente contenía los números de Seguridad Social y la información personal asociada de la mayoría de los estadounidenses vivos.

Definición

DOGE (Department of Government Efficiency): Un grupo ficticio liderado por Elon Musk, descrito en el escenario de 2026 como una banda de ‘destructores del gobierno’ encargada de desmantelar agencias federales para, supuestamente, mejorar la eficiencia.

En los documentos judiciales, la Administración de la Seguridad Social admite no saber con certeza qué había en el servidor, pero afirma que DOGE firmó un acuerdo con un grupo de defensa política externo con el pretexto de encontrar pruebas de fraude electoral. El temor es que la base de datos pueda ser utilizada indebidamente para atacar a ciudadanos estadounidenses por razones espurias.

Puntos Clave

Dos de los principales demócratas de la Cámara de Representantes que investigan las actividades de DOGE han calificado la exposición de la base de datos como ‘la que podría ser la mayor brecha de datos en la historia de nuestra nación’.

Ataques crecientes a sistemas de agua y redes energéticas

Una oleada de ciberataques en toda Europa contra suministros civiles de energía y agua, como centrales eléctricas y presas, ha marcado una tendencia preocupante. Varios hackeos atribuidos a Rusia han puesto en riesgo real a comunidades y poblaciones. La red energética de Polonia fue atacada con malware destructivo a finales del año pasado, al igual que una planta térmica sueca y una presa noruega que derramó el equivalente a varias piscinas de agua. Los hackers volvieron a atacar Polonia a principios de este año, esta vez sus plantas de tratamiento de agua, demostrando que el antagonismo de la guerra híbrida de Rusia se extiende más allá del ámbito digital.

Ahora, debido a la reciente guerra entre Estados Unidos e Israel contra Irán, existen advertencias de que hackers iraníes están apuntando a infraestructuras críticas en Estados Unidos. Esto incluye a las empresas de servicios de agua de propiedad privada, que siguen siendo un objetivo fácil para los hackers, a menudo careciendo de protecciones básicas de ciberseguridad.

Stryker sufre un ataque destructivo por parte de hackers iraníes

En marzo, un ciberataque a la empresa estadounidense de tecnología médica Stryker vio cómo hackers iraníes irrumpieron y borraron remotamente decenas de miles de dispositivos de empleados de una sola vez, causando una interrupción generalizada en las operaciones de la compañía durante varios días. La brecha marcó un cambio en las tácticas de hacking iraníes, pasando de su enfoque típico en el espionaje y las operaciones de ‘hack-and-leak’ a causar activamente hackeos destructivos en aparente represalia por la guerra. El gobierno de EE. UU. atribuyó el ataque a una rama de la inteligencia iraní, y la brecha tuvo un impacto material en los resultados del primer trimestre de Stryker.

Perfil: Stryker Corporation

Stryker es una de las compañías de tecnología médica líderes en el mundo. Ofrece una diversa gama de productos y servicios en ortopedia, medicina y cirugía, y neurotecnología y columna vertebral que ayudan a mejorar los resultados de los pacientes y los hospitales.

Klue negocia con hackers, pero pierde el control de los datos de sus clientes

El proveedor de investigación de mercado Klue fue el epicentro de una brecha de datos masiva que afectó a cerca de 200 empresas, varias de las cuales eran gigantes de la ciberseguridad como Jamf, HackerOne y LastPass. Fue una de las brechas más amplias del año, afectando a multitud de clientes de Klue, menos de un año después de que la empresa despidiera a la mitad de su personal para apostar por la IA.

~200
Empresas Afectadas

Klue admitió que la banda de extorsión, apodada Icarus, irrumpió en sus sistemas utilizando una credencial emitida en 2022 para un piloto limitado, lo que implica que la empresa tuvo unos cuatro años para desactivarla. En la brecha, Klue expuso las claves de los servicios en la nube de sus clientes, permitiendo a los hackers robar esos datos para extorsionar a las empresas. Aunque los gobiernos desaconsejan pagar rescates, Klue informó a sus clientes que había llegado a un acuerdo con los hackers para no publicar los datos robados, sugiriendo fuertemente un pago. Sin embargo, como parte del trato, los hackers admitieron que otro grupo también tenía parte de los datos, y urgieron a las víctimas a no pagarles a ellos.

Perfil: Klue

Klue es una plataforma de habilitación competitiva impulsada por IA que ayuda a las empresas a recopilar, seleccionar y distribuir inteligencia de mercado para cerrar más ventas. La plataforma centraliza la información sobre competidores para que los equipos de ventas y marketing puedan tomar decisiones estratégicas.

  • Sede: Vancouver, Canadá
  • Fundación: 2015 por Jason Smith y Sarathy Naicker
  • Inversores Clave: Craft Ventures, OMERS Ventures, Salesforce Ventures
  • Web: Visitar sitio oficial | LinkedIn | X

Instructure, víctima de las campañas disruptivas de ShinyHunters

El grupo de hackers ShinyHunters continuó sus campañas, atacando a docenas de empresas con técnicas de ‘voice phishing’ simples pero muy efectivas. Estos hackers de habla inglesa son expertos en engañar a las empresas para que les den acceso a sus sistemas internos, haciéndose pasar por soporte técnico o por un empleado que ha olvidado su contraseña.

Definición

Voice Phishing (Vishing): Una forma de ciberataque que utiliza la ingeniería social a través del teléfono para engañar a las personas y obtener información confidencial, como credenciales de acceso o datos financieros.

Pocas empresas conocen mejor el coste de un ataque de ShinyHunters que el gigante de la tecnología educativa Instructure. Los hackers vulneraron su sistema de gestión de aprendizaje, Canvas, para robar datos privados e información personal de más de 30 millones de estudiantes y personal. Cuando la empresa no pagó el rescate, los hackers volvieron a entrar y desfiguraron las pantallas de inicio de sesión de Canvas durante los exámenes finales, interrumpiendo las pruebas en todo Estados Unidos. Instructure finalmente pagó el rescate, a pesar de los esfuerzos del FBI por disuadirlos.

+30M
Registros de Instructure
~40M
Registros de Charter
+6M
Registros de Carnival

Instructure no fue la única víctima. La banda ha estado detrás de algunas de las mayores brechas por número de registros robados, incluyendo unos 40 millones de registros del proveedor de internet Charter y al menos 6 millones de registros de clientes de la línea de cruceros Carnival, entre otras víctimas en educación superior, finanzas y gobierno.

Perfil: Instructure

Instructure es una empresa de tecnología educativa conocida por su Sistema de Gestión de Aprendizaje (LMS), Canvas. La plataforma es utilizada por millones de estudiantes y educadores en instituciones educativas de todo el mundo para la gestión de cursos, la entrega de contenido y la comunicación.

La cadena de suministro bajo ataque: proyectos de código abierto y Big Tech en el punto de mira

Una serie de ataques continuos y superpuestos a desarrolladores de código abierto ha resultado en hackeos masivos contra grandes empresas tecnológicas y sus clientes. Algunos de los nombres más importantes en seguridad, como la herramienta Trivy de Aqua Security, Bitwarden y Checkmarx, junto con otros proyectos importantes de código abierto, fueron comprometidos este año. Esto permitió a los hackers robar contraseñas, credenciales y otros tokens sensibles de los ordenadores de cualquiera que instalara una copia con ‘backdoor’ del software.

Estos ataques utilizaron las credenciales robadas para propagarse aún más, abriendo la puerta a compromisos posteriores de grandes empresas que dependen del software atacado, incluyendo al gigante de la IA OpenAI y la empresa de alojamiento web Vercel. Con un nuevo hackeo casi cada semana, el mundo del código abierto sigue siendo un objetivo vulnerable en el ecosistema tecnológico.

El sistema de vigilancia del FBI es vulnerado, desatando un ‘incidente cibernético mayor’

El FBI se vio obligado a declarar un ‘incidente cibernético mayor’ en abril, lo que requirió una notificación legal al Congreso, tras identificar que uno de sus sistemas de vigilancia había sido comprometido. Según los informes, la brecha expuso potencialmente los números de teléfono de objetivos bajo vigilancia por agentes federales. Se acusó a espías chinos de la brecha en la red no clasificada, que contenía información sensible sobre los objetivos de escuchas telefónicas y otras interceptaciones de comunicaciones. La notificación a los legisladores sugiere que la brecha probablemente alcanzó el umbral de causar un ‘daño demostrable’ a la seguridad nacional de EE. UU.

El chatbot de IA de Meta, un arma para secuestrar cuentas de Instagram

¿Cuándo un hackeo no es exactamente un hackeo? Cuando simplemente pides acceso y te lo dan. Eso fue lo que sucedió con miles de cuentas de Instagram que fueron secuestradas a principios de 2026 cuando los atacantes abusaron del chatbot de IA de Meta para restablecer contraseñas de cuentas.

Decenas de miles
Cuentas de Instagram afectadas

Los secuestros de cuentas ocurrieron a lo largo de varios meses y solo se notaron después de que la noticia del exploit comenzara a filtrarse. El ataque funcionaba así: una persona abría un chat con el chatbot de IA de Meta y fingía que se le había bloqueado el acceso a una cuenta. Al solicitar al chatbot que enviara un código de restablecimiento de contraseña a una dirección de correo electrónico elegida por el atacante, este obtenía acceso a la cuenta de su víctima. El incidente afectó a decenas de miles de cuentas antes de que el acceso indebido fuera descubierto y cortado, representando un fallo de seguridad y confianza vergonzoso y de alto perfil para una de las mayores empresas tecnológicas del mundo.

Perfil: Meta Platforms, Inc.

Meta es un conglomerado tecnológico multinacional que construye tecnologías que ayudan a las personas a conectarse, encontrar comunidades y hacer crecer negocios. Es la empresa matriz de Facebook, Instagram, WhatsApp y otras subsidiarias.

  • Sede: Menlo Park, California, EE. UU.
  • Fundación: 2004 por Mark Zuckerberg, Eduardo Saverin, Andrew McCollum, Dustin Moskovitz y Chris Hughes
  • Web: Visitar sitio oficial | LinkedIn | X

El hackeo de Hasbro provoca semanas de inactividad

El gigante juguetero Hasbro es el último ejemplo de lo que sucede cuando una gran corporación es golpeada por un incidente de seguridad y no está preparada. Semanas después de descubrir hackers en sus sistemas a finales de marzo, la empresa de 103 años permaneció en gran parte fuera de línea, con su sitio web no disponible e incapaz de atender a sus clientes. La compañía, propietaria de marcas como Transformers, Peppa Pig y Dungeons & Dragons, ha dicho poco sobre el incidente, los datos robados o si pagó a los hackers. Pero la interrupción por sí sola probablemente afectará las finanzas de la compañía, que se vio obligada a retrasar. A mediados de mayo, Hasbro afirmó que los hackers ya no estaban en sus sistemas y que la recuperación estaba en marcha, pero se espera que los costes financieros y el efecto dominó en su negocio sean sustanciales.

Perfil: Hasbro, Inc.

Hasbro es una compañía global de juegos y entretenimiento comprometida con la creación de las mejores experiencias de juego y entretenimiento del mundo. Desde juguetes, juegos y productos de consumo hasta televisión, películas, juegos digitales y entretenimiento en vivo, Hasbro conecta con audiencias globales a través de sus icónicas marcas.

Millones de pasaportes y licencias de conducir expuestos

En los últimos meses, ha habido un aumento en las exposiciones de datos masivas que involucran documentos de identidad emitidos por el gobierno, como escaneos de pasaportes y licencias de conducir dejados expuestos en la web. Desde un sistema de check-in de hotel y una aplicación de transferencia de dinero hasta un proveedor de teléfonos de prisión y un servicio de visas del Reino Unido, estos servicios expusieron los documentos personales de más de dos millones de personas, que pueden ser fácilmente utilizados de forma indebida. Muchos fueron causados por simples fallos de seguridad que eran fácilmente evitables.

+2 Millones
Documentos de Identidad Expuestos

Estas filtraciones masivas de datos llegan en un momento en que las aplicaciones y sitios web de comunidades cerradas se apoyan cada vez más en las verificaciones ‘conoce a tu cliente’ (KYC) para forzar a los usuarios a verificar su identidad, y los gobiernos impulsan leyes de verificación de edad que exigen controles similares. La lógica indica que cuanto mayores sean las filtraciones, menos efectivos serán estos sistemas de verificación de identidad, ya que pueden ser fácilmente burlados con un pasaporte o licencia de conducir robados. El despliegue adicional de estos sistemas de recolección de identidad conducirá inevitablemente a más brechas de seguridad.

spot_img