¿Qué pasó?
Cybernews reportó que más de 252 millones de registros de identidad quedaron expuestos por tres servidores mal configurados con IPs en Brasil y EAU. Afecta a personas en 7 países (Turquía, Egipto, Arabia Saudita, EAU, México, Sudáfrica y Canadá) e incluye números de ID, fecha de nacimiento, direcciones y contactos. El hallazgo fue en mayo de 2025 y se cerró en junio de 2025, pero el riesgo de fraude y suplantación permanece para quienes fueron indexados o replicados.
Lo importante
- No fue “hackeo”, fue exposición por mala configuración. El vector principal: servicios abiertos con estructuras que parecen perfiles de identidad a nivel gubernamental.
- Riesgos inmediatos: account takeover, apertura de líneas de crédito, SIM swap, phishing hiper-dirigido y fraude documental.
- Lección estratégica: tu superficie de ataque ya no es solo lo que operas: es todo endpoint, bucket o base que contenga PII en tu ecosistema (propio o de terceros).
¿Qué pasaría en Chile con las actuales «leyes TI»?
Esta es una estimación de las implicancias de este evento si ocurriera en territorio Chileno y cuales serían las multas y penas con las actuales «leyes TI». Ante una exposición masiva de PII (por ejemplo, buckets/DB mal configurados), estas son las consecuencias legales más probables en Chile bajo Protección de Datos (21.719), Delitos Informáticos (21.459) y Ley Marco de Ciberseguridad (21.663). Tabla comparativa con multas potenciales y notas clave.
| Problemática | Ley 21.719 (protección de datos personales) | Ley 21.459 (delitos informáticos) | Ley 21.663 (marco de ciberseguridad) |
|---|---|---|---|
| Exposición de PII por mala configuración / seguridad insuficiente | Infracción grave o gravísima. Multa hasta 10.000 UTM (grave) o 20.000 UTM (gravísima); recargo +50% si no se subsana en 60 días; reincidencia hasta 3×; para no-MYPE, en reincidencia grave/gravísima: hasta 2%/4% de ingresos anuales. | Si hubo acceso ilícito o divulgación: presidio o 11–20 UTM (art. 2). Otros delitos conexos según el caso. | Aplica solo a instituciones determinadas. Multas: hasta 10.000 UTM (grave) o 20.000 UTM (gravísima); si eres OIV: 20.000/40.000 UTM. |
| Omitir o retrasar la notificación de un incidente a titulares/autoridad | Puede ser grave/gravísima (según dolo y efectos). Rangos y recargos como arriba. | Podrían concurrir delitos (p. ej., acceso/divulgación ilícita) dependiendo de los hechos. | En instituciones determinadas: grave si no se informa a potenciales afectados; multa hasta 10.000 UTM (o 20.000 UTM si OIV). |
| Tratamiento fraudulento o uso no autorizado de datos personales | Puede ser gravísima; multa hasta 20.000 UTM (con recargos/reincidencia/2%–4% si no-MYPE). | Si hay fraude informático: multa 5–30 UTM + presidio según monto del perjuicio (art. 7). | Grave/gravísima si afecta continuidad/gestión; rangos generales de la ley (10.000/20.000 UTM; OIV: 20.000/40.000). |
| Transferencia internacional ilícita de datos | Grave/gravísima según el caso; mismas escalas sancionatorias y recargos. | N/A penal salvo conductas delictivas conexas. | N/A directa, salvo deberes de gestión/reporte si eres institución determinada. |
| No implementar SGSI/planes/estándares exigidos por la autoridad | Falta de diligencia que puede configurar infracción sancionable (ver escalas). | N/A penal. | En instituciones determinadas: grave (no SGSI ni planes). Multa hasta 10.000 UTM; OIV: hasta 20.000 UTM. |
| Acceso ilícito / interceptación / ataque a integridad / falsificación | Si involucra PII, además de lo penal pueden aplicar sanciones LPDP (rangos generales). | Acceso ilícito: presidio o 11–20 UTM (art. 2). Interceptación: presidio (art. 3). Ataque a integridad/falsificación: presidio (arts. 4 y 5). Abuso de dispositivos: 5–10 UTM + presidio (art. 8). | |
| Fraude informático (manipulación de sistemas para obtener beneficio) | Si hubo tratamiento/divulgación de PII, además podrían aplicar sanciones LPDP (rangos). | Multa 5–30 UTM + presidio, según perjuicio (art. 7). Tramo agravado si >400 UTM. | Grave/gravísima si incide en continuidad/impacto; ver escalas generales y OIV. |
Revisa aquí la noticia completa: https://cybernews.com/security/identity-records-global-data-leak/
