Un post publicado en foros y canales de la llamada dark web presenta, según sus autores, un servicio automatizado (un “bot” convertido en oferta pública vía Telegram) que permitiría consultar información personal contenida en distintas bases de datos públicas y administrativas del Estado uruguayo. En la publicación, el grupo que lo promociona afirma haber usado la herramienta en privado para “investigaciones” y asegura que inyectó o “screpeó” datos de fuentes como registros de identificación civil, Plan Ceibal, registros de multas, historiales de direcciones y otras bases oficiales. Los autores muestran capturas y ejemplos con nombres de personas públicas y aseguran que la plataforma usa un sistema de tokens para cobrar accesos con criptomonedas.

A continuación resumimos lo comunicado por los autores, lo que se sabe verificadamente sobre incidentes recientes contra sitios estatales y el marco de riesgo y respuesta que plantea este tipo de publicaciones.

¿Qué dice la publicación?

Según el post (texto e imágenes adjuntas que circulan en canales de intercambio de ciberdelincuentes) el servicio, bautizado por sus autores como Pampabot, ofrecería consultas por número de documento o nombre y devolvería, entre otras cosas (énfasis del autor del post):

• datos básicos (nombre, fecha de nacimiento, género), historial de direcciones y vínculos familiares;

• números de teléfono y correos electrónicos asociados;

• registros de escolaridad (PDFs con historial académico);

• dispositivos asignados por Plan Ceibal y la cuenta CREA asociada al ciudadano;

• informaciones sobre multas y matrículas (con opción, según el post, a mapas con coordenadas);

• imágenes provenientes de bases “scrapeadas” (mencionan DNIC, intendencia, Ceibal).

Los autores acompañan demostraciones con capturas y ejemplos que incluyen nombres de funcionarios públicos y celebridades locales; además describen una economía del servicio basada en “tokens” que se compran con Bitcoin/USDT/Monero y pueden revenderse entre usuarios. El tono del post alterna entre exhibición técnica, amenaza implícita hacia autoridades y oferta comercial a revendedores.

Nota importante: no reproducimos aquí datos sensibles (números de documento, direcciones, teléfonos) ni instrucciones operativas que faciliten su uso. La información anterior es un resumen de las afirmaciones públicas hechas por los autores en su anuncio.

Contexto verificado: incidentes contra sitios del Estado y la investigación

En marzo de 2025 varios medios uruguayos informaron un incidente en la web de la Dirección Nacional de Aviación Civil (Dinacia), en el cual atacantes publicaron el número de teléfono del presidente Yamandú Orsi y pusieron mensajes en el sitio oficial; las autoridades indicaron que se estaba investigando el alcance del ataque. Tras análisis oficiales, Presidencia y equipos de ciberseguridad señalaron que, en ese caso puntual, no se había detectado evidencia de acceso irregular al Sistema de Gestión de Seguridad Pública (SGSP), aunque la investigación sobre origen y alcance continuó y Agesic participó de las indagaciones. Estos hechos y la preocupación por ataques a sitios con terminación gub.uy fueron ampliamente cubiertos por la prensa local en marzo de 2025.

Varias coberturas posteriores y análisis periodísticos también resaltaron que los ciberataques dirigidos a dependencias estatales se incrementaron en el último período y que la coordinación entre organismos y la respuesta técnica son claves para contener riesgos.

Qué hay que tomar con cautela

• Lo publicado por grupos en foros clandestinos no siempre refleja el alcance real de accesos: pueden mezclar datos públicos (obtenibles por medios legítimos), material obtenido vía scraping superficial, y —en algunos casos— datos realmente sustraídos mediante intrusión. Las afirmaciones deben verificarse técnicas y legalmente por los organismos competentes antes de ser tratadas como confirmadas.

• Las capturas y ejemplos sirven como evidencia inicial, pero no sustituyen peritajes forenses que establezcan vector de acceso, alcance y si hubo exfiltración de bases sensibles; por eso es clave la intervención de CERT nacional, Agesic y Fiscalía cuando corresponda.

Riesgos e impacto potencial

Si parte del contenido del anuncio fuera cierto (bases internas efectivamente exfiltradas o accesibles a terceros), las consecuencias serían amplias: riesgo de suplantación, chantaje, persecución o acoso de personas expuestas, ataques dirigidos (spearphishing contra funcionarios), compromisos de seguridad para infraestructura crítica y pérdida de confianza ciudadana en la custodia de datos personales. Además, la comercialización de ese acceso (mercados de tokens) amplifica la superficie de riesgo al permitir a actores con bajos recursos comprar información.

Recomendaciones para ciudadanos

• No compartir números de documento o datos sensibles por canales no seguros.

• Activar doble factor (2FA) en servicios donde esté disponible; revisar permisos de cuentas de correo y redes sociales.

• Estar alerta a mensajes sospechosos (phishing) que intenten aprovechar filtraciones públicas.

• Ante notificación oficial de exposición de datos, seguir indicaciones del organismo afectado y de CERT.

Conclusión

La publicación del Pampabot en foros clandestinos vuelve a poner sobre la mesa dos realidades: por un lado, el incremento y la sofisticación de campañas que apuntan a sitios y servicios estatales; por otro, la rápida comercialización de información personal en mercados cibernéticos. Mientras las autoridades investigan y verifican el alcance real de estos reclamos, la prudencia, la transparencia en la comunicación pública y la coordinación técnica entre organismos son las herramientas más efectivas para limitar daños y restaurar confianza.