Una filtración masiva de datos que involucra a IDMerit, una empresa californiana de verificación de identidad, ha expuesto más de mil millones de registros personales pertenecientes a ciudadanos de 26 países, según una investigación publicada por el equipo de investigación en ciberseguridad de Cybernews. Los investigadores descubrieron una base de datos MongoDB sin protección que contenía aproximadamente un terabyte de datos sensibles de tipo KYC (Conozca a su Cliente), dejada accesible en Internet sin ninguna protección por contraseña, haciéndola libremente disponible para cualquier persona con conexión a Internet.
Los registros expuestos incluyen nombres completos, fechas de nacimiento, números de identificación nacional, direcciones físicas, códigos postales, números de teléfono, direcciones de correo electrónico, información de género, metadatos de telecomunicaciones y anotaciones de perfiles sociales. Estados Unidos resultó ser el país más afectado con aproximadamente 203 millones de registros expuestos, seguido de México con 124 millones, Filipinas con 72 millones, Alemania con 61 millones, e Italia y Francia con 53 millones de registros cada uno. Ciudadanos de 20 países adicionales, incluidos China y Brasil, también se vieron afectados por la filtración.
IDMerit proporciona servicios de verificación de identidad y prevención de fraude basados en API a bancos, empresas fintech y otras organizaciones obligadas por ley a verificar la identidad de sus clientes mediante procedimientos de cumplimiento KYC. Los expertos en ciberseguridad han descrito la naturaleza estructurada de los datos expuestos como una mina de oro para los criminales, señalando que la combinación de números de identificación nacional, fechas de nacimiento y perfiles personales completos crea condiciones ideales para el robo de identidad, el fraude crediticio, los ataques de intercambio de tarjetas SIM y las campañas de suplantación de identidad sofisticadas.
El equipo de investigación de Cybernews descubrió la base de datos desprotegida el 11 de noviembre de 2025 y notificó inmediatamente a IDMerit. La compañía aseguró la instancia expuesta al día siguiente, el 12 de noviembre. Sin embargo, se desconoce durante cuánto tiempo la base de datos estuvo públicamente accesible antes de su descubrimiento, lo que genera serias preocupaciones sobre si actores malintencionados pudieron haber accedido y copiado los datos. IDMerit no ha revelado públicamente información detallada sobre el incidente ni aclarado si las personas afectadas y las autoridades reguladoras han sido formalmente notificadas.
La filtración ha reavivado el debate sobre las prácticas de seguridad de los proveedores KYC, que se han convertido en infraestructura crítica del sistema financiero mundial. Los gobiernos y reguladores de todo el mundo exigen a bancos, plataformas de criptomonedas y servicios digitales que verifiquen la identidad de sus usuarios, canalizando así enormes cantidades de datos personales sensibles hacia empresas de verificación externas. Los críticos argumentan que estos proveedores no están sujetos a una supervisión regulatoria suficiente ni a auditorías de seguridad obligatorias. El incidente ha generado especial atención en Francia, donde 53 millones de registros de identidad quedaron expuestos en un momento en que los legisladores debaten propuestas para exigir la verificación de identidad en el acceso a las redes sociales.
Los analistas en ciberseguridad han advertido que las consecuencias de esta filtración podrían desarrollarse durante años, ya que los datos de identidad robados conservan su valor mucho después de la exposición inicial. Los números de identificación nacional y las fechas de nacimiento no pueden cambiarse como las contraseñas, lo que significa que las personas afectadas enfrentan un riesgo prolongado de fraude de identidad. Los expertos han instado a cualquier persona que haya utilizado servicios verificados a través de IDMerit a vigilar estrechamente sus cuentas financieras y activar la autenticación de dos factores siempre que sea posible.
Comentarios