Seguridad de los datos
Filtraciones de datos y DAC8
Por qué DAC8 añade una base de datos cripto sensible a un entorno ya marcado por filtraciones masivas, malas configuraciones y corrupción interna.
Actualizado el
Respuesta breve
El debate sobre DAC8 no puede partir de la base de que las bases de datos públicas o semipúblicas permanecen perfectamente protegidas. Ninguna base de datos grande debería considerarse permanentemente segura: organismos públicos, contratistas, proveedores de software y personal interno crean puntos de acceso. La historia reciente muestra lo contrario de la promesa de seguridad: filtraciones masivas, proveedores comprometidos, accesos internos desviados.
DAC8 es especialmente sensible porque combina identidad civil, actividad cripto y valor económico. Una sola filtración puede transformar una base de datos de declaración fiscal en una herramienta de selección de objetivos criminales. En 18 meses, más de 100 millones de registros de ciudadanos franceses se vieron comprometidos en bases de datos gestionadas por el Estado o sus contratistas, y las autoridades ya establecen el vínculo entre filtraciones y violencia: la brecha de Waltio sirvió directamente para al menos tres secuestros.
Datos clave
8.613
notificaciones de brechas a la CNIL en 12 meses (+45%)
24 / día
cerca de una filtración por hora
12,2M
personas afectadas (+53%)
Forum Incyber / Hexatrust / CNIL, Barómetro 2026 de las brechas de datos personales (sept. 2024 a sept. 2025).
Una base de datos de muy alto valor
Una base de datos DAC8 contiene datos de identidad y datos cripto. Esa combinación es más sensible que una simple lista fiscal: cruza identidad civil, actividad cripto y valor económico.
Para un atacante, puede servir para priorizar víctimas, preparar la coacción o enriquecer datos ya disponibles en otras fuentes.
Filtraciones masivas del Estado en Francia (2024-2026)
| Fecha | Organismo | Víctimas | Datos expuestos |
|---|---|---|---|
| Ene. 2024 | Viamedis + Almerys | 33M | NIR (número de seguridad social) + identidad |
| Mar. 2024 | France Travail | 43M | NIR, dirección, teléfono, correo electrónico |
| Finales de 2025 | Cegedim Santé | 15M | Identidad + 169.000 historiales médicos |
| Ene. 2026 | FICOBA (DGFiP) | 1,2M | Datos bancarios (RIB), IBAN, identidad del titular |
| Abr. 2026 | Megafiltración gubernamental | 19M | Direcciones, correos electrónicos, teléfonos |
| May. 2026 | Almerys (nueva) | 15,4M | NIR, contratos, aseguradoras |
| May. 2026 | DGSE (robo físico) | n/d | Planos de comisarías + acceso a las cámaras de videovigilancia de París |
El problema del eslabón más débil
DAC8 depende de administraciones, sistemas, contratistas y agentes distintos. La seguridad del conjunto depende de la resistencia del eslabón más débil. La verdadera pregunta no es si las administraciones tienen la intención de proteger los datos, sino si cada sistema conectado, cada proveedor y cada punto de acceso humano resistirá con el tiempo.
Una sola filtración puede bastar para convertir una obligación de declaración en una herramienta de identificación criminal.
El acceso interno pesa tanto como el pirateo
El riesgo no se limita a un hacker externo. Una base de datos administrativa puede exponerse por un acceso interno abusivo, una mala configuración, un contratista comprometido o una extracción ilegítima.
Cuanto más se comparte una base de datos, más puntos de acceso humanos y técnicos crea. DAC8 y CARF multiplican los lugares por donde pueden circular datos sensibles y, por tanto, aumentan esta superficie de exposición.
Cuando la filtración provoca el ataque: el patrón documentado
Caso FFTir (octubre de 2025). 250.000 tiradores deportivos y 750.000 antiguos titulares de licencia expuestos en la dark web. La Fiscalía de París confirmó que «estos datos se utilizaron para cometer robos con allanamiento o mediante suplantación (uso de una falsa condición)»: entre 20 y 30 robos con allanamiento o “home-jacking” en pocas semanas.
Caso Waltio (enero de 2026). Plataforma francesa de cálculo del impuesto cripto: unos 50.000 usuarios expuestos (correos electrónicos, ganancias/pérdidas, indicadores de valor, identidad). Los hackers afirmaron que estos datos sirvieron para al menos 3 secuestros, por un total de más de 17M$ extorsionados. La Fiscalía de París abrió una investigación.
Corrupción interna y precedentes estatales
- Ghalia C. (DGFiP, ene. 2026): una agente de la DIRCOFI de Bobigny fue encarcelada por consultar y transmitir a delincuentes direcciones y perfiles fiscales, con el objetivo específico de inversores en criptomonedas. El patrón DAC8 reproduce exactamente las condiciones explotadas, pero a escala europea.
- Equalize (Italia, 2024-2026): agentes de policía corruptos accedieron a bases de datos fiscales, policiales y bancarias para exfiltrar más de un millón de registros, revendidos o usados con fines de chantaje. DAC8 multiplica estos puntos de entrada por 27.
- NRA Bulgaria (2019): los datos fiscales de entre 5 y 7 millones de ciudadanos, casi toda la población adulta, exfiltrados mediante técnicas “básicas”. Basta con que una sola de las 27 administraciones sea el eslabón débil.
Le Parisien, 26 nov. 2025 (FFTir) y ene. 2026 (Ghalia C.) · Cybernews, 9 feb. 2026 y Forbes, 14 feb. 2026 (Waltio) · Reuters / Euronews (Equalize) · Wikipedia y Reuters, 16 jul. 2019 (NRA Bulgaria).
La especificidad cripto
Los datos cripto filtrados pueden seguir siendo útiles durante mucho tiempo. Una dirección pública puede seguir revelando movimientos futuros si el usuario no puede compartimentar o migrar limpiamente sus fondos.
La filtración no se limita, por tanto, al pasado: puede crear una vigilancia permanente. Para los datos cripto, la consecuencia puede ir más allá del robo de identidad: puede permitir la selección de objetivos físicos.