El jefe nos sugirió echar un vistazo al historial de ciberseguridad de Francia, y francamente, el panorama no es agradable. Desde principios de 2024, las filtraciones de datos gubernamentales en Francia han alcanzado una escala difícil de creer si los números no estuvieran confirmados por los propios reguladores del país. Registros laborales, expedientes de seguros médicos, cuentas bancarias, historiales hospitalarios, licencias de federaciones deportivas: todo ha sido hackeado, todo ha quedado expuesto, formando en conjunto el retrato de un fallo sistémico.
Esto es lo que ocurrió, lo que significa para los ciudadanos de a pie y por qué la tendencia no hace más que empeorar.
Filtraciones de datos gubernamentales en Francia: la magnitud del problema
En febrero de 2024, dos procesadores de pagos sanitarios, Viamedis y Almerys, sufrieron brechas que expusieron los datos de 33 millones de personas, casi la mitad de la población. Nombres, fechas de nacimiento, números de seguridad social y datos de seguros médicos quedaron comprometidos. El exsecretario general de la CNIL, Yann Padova, lo calificó como «la mayor brecha de seguridad en Francia» en aquel momento. Ese récord no duró mucho.
Un mes después, France Travail (la agencia nacional de empleo, anteriormente Pôle Emploi) reveló que piratas informáticos habían robado los datos personales de hasta 43 millones de personas. Los atacantes recurrieron a la ingeniería socialLa práctica de manipular a las personas mediante engaño, identidades falsas o escenarios fabricados para obtener acceso, información o confianza. A menudo explota vulnerabilidades psicológicas en lugar de defectos técnicos. para apoderarse de cuentas de asesores de CAP Emploi y accedieron a veinte años de registros de demandantes de empleo: nombres, fechas de nacimiento, números de seguridad social, direcciones de correo electrónico y postales, y números de teléfono. La intrusión se prolongó del 6 de febrero al 5 de marzo de 2024, antes de ser detectada.
En septiembre de 2024, investigadores descubrieron un servidor Elasticsearch expuesto con 95 millones de registros procedentes de al menos 17 filtraciones de datos francesas distintas, compilados por un actor desconocido en una única base de datos de 30 gigabytes. Como referencia, la población de Francia es de aproximadamente 68 millones de personas.
Cuando los datos robados se convierten en un arma
La mayoría de las brechas derivan en correos de phishing e intentos de robo de identidad. El hackeo de la Federación Francesa de Tiro (FFTir) en octubre de 2025 llevó a algo mucho más peligroso.
Los atacantes robaron registros de un millón de personas, entre ellos 250.000 licenciados en activo y 750.000 exmiembros. Los datos incluían nombres, direcciones, números de teléfono y datos de membresía. Crucialmente, aunque la federación no almacenaba información sobre armas concretas, en Francia es de dominio público que los tiradores con licencia suelen guardar armas en casa.
En pocas semanas, los delincuentes comenzaron a usar los datos filtrados como lista de objetivos para cometer robos. En Niza, dos falsos policías robaron armas y munición a un tirador deportivo. En Limoges, individuos enmascarados se llevaron dos pistolas y 500 cartuchos del domicilio de un exguardaespaldas. En la región del Ródano, un tirador de competición fue atado por hombres armados que le obligaron a abrir su caja fuerte, llevándose nueve armas, 1.300 cartuchos y una importante suma de dinero.
Las autoridades francesas arrestaron a un sospechoso de 18 años en enero de 2026, presuntamente responsable de haber orquestado el hackeo y vendido los datos en foros criminales.
Los golpes no cesan: hospitales, bancos, telecomunicaciones
En noviembre de 2024, un ciberataque a un hospital francés expuso los expedientes médicos de 758.912 pacientes, incluidos recetas, historiales de tarjetas sanitarias y datos personales. El actor de la amenaza afirmó haber accedido a registros de pacientes en varios hospitales, con un total de más de 1,5 millones de personas.
En octubre de 2024, el operador de telecomunicaciones Free (y su filial Free Mobile) sufrió una brecha que expuso datos de 24 millones de contratos de abonados, incluidos números de cuenta bancaria (IBAN). Las empresas recibieron más de 2.500 denuncias y fueron multadas conjuntamente con 42 millones de euros por la CNIL en enero de 2026.
A finales de enero de 2026, un atacante accedió al registro nacional de cuentas bancarias de Francia (FICOBA), una base de datos gestionada por la autoridad tributaria que registra todas las cuentas abiertas en el país. El intruso utilizó credenciales robadas de un funcionario para acceder a datos de 1,2 millones de cuentas, incluyendo IBAN, nombres de titulares, direcciones e identificadores fiscales. La base de datos completa contiene registros de 300 millones de cuentas pertenecientes a 80 millones de personas.
Qué puede hacer usted
Si vive en Francia, estos son los pasos prácticos a seguir:
- Revise sus cuentas cada semana. Busque domiciliaciones no autorizadas o transacciones desconocidas.
- Desconfíe de llamadas y correos electrónicos. Los estafadores usan datos robados para hacerse pasar por policías, agentes bancarios y funcionarios. Las autoridades reales jamás le llamarán para «asegurar» sus armas o «verificar» sus datos bancarios por teléfono.
- Cambie sus contraseñas en cualquier servicio que haya declarado una brecha, y no reutilice contraseñas en distintos servicios.
- Monitorice su crédito. Con números de seguridad social e IBAN circulando, el robo de identidad y la apertura fraudulenta de cuentas son riesgos reales.
- Presente denuncias. Puede reportar incidentes ante la fiscalía de París o directamente ante la CNIL.
La incómoda verdad es que, con una media de aproximadamente 10 filtraciones de datos por ciudadano francés, sus datos muy probablemente ya están ahí fuera. La pregunta ya no es si ha sido afectado, sino cuántas veces.
El jefe nos pidió que analizáramos a fondo la postura de ciberseguridad de Francia, y los hallazgos son demoledores. Desde principios de 2024, las filtraciones de datos gubernamentales en Francia han pasado de ser un problema crónico a una crisis en toda regla, poniendo al descubierto debilidades estructurales en organismos públicos, infraestructuras sanitarias, sistemas financieros y el aparato regulatorio concebido precisamente para evitar esto.
Filtraciones de datos gubernamentales en Francia: cronología de un fallo sistémico
La cascada comenzó a finales de enero de 2024, cuando los procesadores de pagos sanitarios Viamedis y Almerys fueron comprometidos mediante un ataque de phishing que comprometió las credenciales de profesionales sanitarios. La exposición resultante afectó a 33 millones de personas, casi la mitad de la población francesa, comprometiendo números de seguridad social, datos de seguros y datos de estado civil. El exsecretario general de la CNIL, Yann Padova, describió esto como «la mayor brecha de seguridad en Francia».
Esa valoración quedó desfasada en pocas semanas. Entre el 6 de febrero y el 5 de marzo de 2024, atacantes comprometieron France Travail mediante ingeniería socialLa práctica de manipular a las personas mediante engaño, identidades falsas o escenarios fabricados para obtener acceso, información o confianza. A menudo explota vulnerabilidades psicológicas en lugar de defectos técnicos., apoderándose de cuentas de asesores de CAP Emploi para acceder a 20 años de datos de demandantes de empleo. La CNIL confirmó que hasta 43 millones de personas resultaron afectadas. La investigación posterior de la CNIL determinó que los procedimientos de autenticación eran insuficientemente robustos, las medidas de registro inadecuadas para detectar comportamientos anómalos y las autorizaciones de acceso demasiado amplias. Lo más demoledor fue que la CNIL señaló que France Travail había identificado las medidas de seguridad apropiadas en sus propias evaluaciones de impacto, pero sencillamente nunca las había implementado.
France Travail fue multada con 5 millones de euros en enero de 2026, con la CNIL citando «desconocimiento de principios elementales de seguridad». El organismo llegó a sufrir siete filtraciones adicionales solo en 2025.
El problema de la agregación
Las filtraciones individuales son perjudiciales. Su efecto acumulado es catastrófico. En septiembre de 2024, investigadores descubrieron un servidor Elasticsearch expuesto con 95.350.331 registros procedentes de al menos 17 filtraciones de datos francesas distintas, compilados en una única base de datos de 30,1 gigabytes por un actor de amenazas desconocido. La recopilación incluía datos de telecomunicaciones, plataformas de comercio electrónico, redes sociales y más.
Ahí reside el verdadero peligro: las filtraciones individuales se cruzan y enriquecen. Un número de seguridad social de Viamedis, combinado con una dirección de France Travail, combinado con un IBAN de Free, crea un perfil de identidad completo que permite fraudes sofisticados muy por encima de lo que permitiría cualquier filtración individual.
Según InCyber, citando datos de Surfshark, el ciudadano francés promedio ha sido víctima de aproximadamente 10 filtraciones de datos. Francia ocupa el primer puesto en Europa y el segundo a nivel mundial en cuentas comprometidas, con 1,8 millones de cuentas expuestas solo en el primer semestre de 2025.
Del ciberespacio a la violencia física: el caso FFTir
El hackeo de la Federación Francesa de Tiro (FFTir) en octubre de 2025 ilustra una dimensión de las filtraciones de datos que los modelos de riesgo suelen subestimar: las consecuencias en el mundo físico.
Los atacantes exfiltraron registros de un millón de personas, entre ellos 250.000 licenciados activos. En pocas semanas, los delincuentes usaban los datos como lista de objetivos para robos a mano armada. Se reportaron incidentes en toda Francia: falsos policías que robaron armas en Niza y París, asaltantes enmascarados que ataron a un tirador en la región del Ródano y le forzaron a abrir su caja fuerte, un robo en Limoges dirigido contra un exguardaespaldas. La fiscalía de París confirmó que los datos robados habían sido utilizados para cometer robos en los que se sustrajeron armas.
Un sospechoso de 18 años fue arrestado en enero de 2026, acusado de haber orquestado el hackeo y vendido los datos en foros cibercriminales y Telegram. El caso plantea preguntas serias sobre la retención de datos: la federación conservaba registros de 750.000 exmiembros, muchos de los cuales habían dejado caducar sus licencias años atrás. Bajo el RGPD, se espera que las organizaciones eliminen los datos que ya no son necesarios para su finalidad original.
Las infraestructuras gubernamentales, bajo ataque
Las brechas no han perdonado los sistemas gubernamentales centrales. A finales de enero de 2026, un atacante accedió a FICOBA, el registro nacional de cuentas bancarias de Francia, haciéndose pasar por un funcionario cuyas credenciales permitían consultas interministeriales. El Ministerio de Economía reveló que 1,2 millones de cuentas quedaron expuestas, incluidos IBAN, nombres de titulares e identificadores fiscales. La base de datos, gestionada por la Dirección General de Finanzas Públicas (DGFiP), contiene registros de aproximadamente 300 millones de cuentas pertenecientes a 80 millones de personas.
La infraestructura sanitaria ha resultado igualmente vulnerable. En noviembre de 2024, una brecha a través del sistema de historia clínica electrónica MediBoard expuso 758.912 expedientes de pacientes en un hospital francés, incluidas recetas e historiales de tarjetas sanitarias. El actor de la amenaza afirmó tener acceso a datos de pacientes en varios hospitales, con un total de más de 1,5 millones de personas. En octubre de 2024, Free y Free Mobile sufrieron una brecha que expuso 24 millones de contratos de abonados, incluidos IBAN. La CNIL determinó que las empresas no habían implementado medidas básicas de autenticación VPN y carecían de una detección de anomalías eficaz.
El patrón se extiende a los municipios. Innumerables ayuntamientos se han visto afectados: Quimper, Brest, Chatou, Alfortville, Saint-Aubin d’Aubigné, además de la brecha de Synbird, que afectó a un sistema en línea de cita previa para el registro civil utilizado por 1.300 municipios. Las federaciones deportivas han sido golpeadas en todos los ámbitos: tiro, fútbol, balonmano, tenis de mesa, danza, tiro con arco, escalada.
La respuesta regulatoria: ¿demasiado poco, demasiado tarde?
La CNIL ha intensificado su actividad sancionadora. En 2024 impuso 87 sanciones por un total de 55,2 millones de euros, el doble que el año anterior. En 2025 impuso 83 sanciones por un total de 486,8 millones de euros, casi nueve veces la cifra de 2024. El salto se debió principalmente a dos multas masivas por consentimiento de cookies (325 millones y 150 millones de euros contra grandes actores no identificados, ampliamente señalados como Google y Shein), pero las brechas de seguridad de datos siguieron siendo un tema central de la actividad sancionadora.
La pregunta es si las multas están calibradas para generar cambios. France Travail, un organismo público financiado con cotizaciones a la seguridad social, fue multada con 5 millones de euros por exponer 43 millones de registros. Free y Free Mobile, filiales del grupo Iliad, fueron multadas con 42 millones de euros por exponer 24 millones. Estas cantidades, aunque significativas en términos absolutos, pueden no representar un elemento disuasorio suficiente para organizaciones que procesan datos a esta escala.
Una crítica estructural, formulada por Guillaume Champeau, fundador de Numerama, y recogida por InCyber, es que la CNIL ha tardado demasiado en sancionar específicamente los fallos de seguridad de datos. «El RGPD se ha convertido en una broma para los responsables del tratamiento», dijo Champeau. «En lugar de enviar el mensaje de que los datos debían protegerse, el mensaje que se envió fue que podías simplemente no importarte.»
Causas raíz y vulnerabilidades estructurales
Los patrones recurrentes en estas brechas apuntan a fallos sistémicos, no accidentales:
- Autenticación débil. Las cuentas de CAP Emploi de France Travail, el acceso VPN de Free y las credenciales interministeriales del FICOBA carecían de autenticación multifactorMétodo de seguridad que exige al menos dos formas independientes de verificar la identidad, como contraseña y código de un solo uso, antes de dar acceso. o controles de acceso robustos.
- Retención excesiva de datos. France Travail conservaba 20 años de registros. La FFTir mantenía datos de 750.000 exmiembros. Free Mobile guardaba datos de abonados sin implementar el borrado legalmente exigido.
- Infrainversión crónica. Según cybermalveillance.gouv.fr, el 77 % de los cargos electos y agentes de administraciones locales gastan menos de 2.000 euros en ciberseguridad.
- Detección de anomalías insuficiente. Tanto France Travail como Free carecían de sistemas eficaces para detectar patrones de acceso anómalos, lo que permitió a los atacantes operar durante períodos prolongados antes de ser detectados.
La combinación de enormes bases de datos centralizadas, controles de acceso débiles y una supervisión mínima crea un entorno rico en objetivos que los actores de amenazas explotan con sofisticación creciente. La posición de Francia como el principal país europeo en filtraciones de datos no es fruto de la mala suerte. Es el resultado de decisiones políticas, prioridades presupuestarias y un marco regulatorio que solo ahora comienza a estar a la altura del problema.
