Una filtración de datos extrema puede afectar a más de 2.000 millones de personas

El 6 de agosto de 2024, uno de los mayores conjuntos de datos personales jamás filtrado llegó a un foro de la web oscura llamado Breachforums, de libre descarga y uso para cualquiera. El archivo, publicado por un usuario con el alias Fenice, contenía unos 2.700 millones de registros. Los registros consisten en fragmentos clave de información personal, como direcciones, fechas de nacimiento y números de la seguridad social, entre otras cosas. Al parecer, la filtración afecta a personas de Estados Unidos, Reino Unido y Canadá.

El conjunto de datos fue puesto a la venta originalmente en abril de 2024 por el usuario USDoD, una cuenta con presuntos vínculos con una organización de ciberdelincuencia cibercrimen. La publicación anunciaba la venta de los datos por 3,5 millones de dólares, pero al principio no pareció despertar ningún interés. Al poco tiempo, los usuarios empezaron a publicar fragmentos del conjunto de datos de forma gratuita, lo que llevó a Fenice a filtrar el archivo completo. Junto con el archivo, Fenice alegó que USDoD no era en realidad responsable de la brecha original, y que fue perpetrada por otro usuario, SXUL.

El archivo publicado por Fenice supuestamente pesa más de 250 terabytes, y está en un formato común que puede abrirse en Microsoft Excel, Google Sheets u otro software comparable. Se cree que el archivo contiene información sobre gran parte de la población de cada uno de los tres países mencionados. Dado que pueden existir múltiples registros para cada persona afectada, y que algunas personas que se vieron afectadas ya han confirmado que parte de la información es inexacta, es difícil precisar con exactitud cuántas personas pueden haberse visto afectadas.

Los datos fueron recopilados por una empresa conocida como National Public Data, o NPD. Al parecer, el modelo de negocio de la empresa no consiste en otra cosa que en raspar fuentes de datos públicas e improvisar los resultados. Un hombre de Florida presentó una demanda contra la empresa, que se está tramitando como una demanda colectiva por dos despachos de abogados diferentes de Florida y California.

La demanda alega que NPD asumió el deber de proteger los datos personales cuando los adquirió y recopiló, y que ha incumplido este deber. También alega que la empresa utilizó fuentes no públicas, lo que les llevó a estar en posesión de datos de individuos que no dieron su consentimiento para que se recopilaran. Las alegaciones contra NPD incluyen negligencia, enriquecimiento injusto e incumplimiento del deber fiduciario.