Sus datos ya son públicos. Lo que eso cambia de verdad.

El cliente firma el NDA, guarda el contrato en su caja fuerte, y su buzón de correo histórico acaba de aparecer volcado en un foro ruso. Esta escena la veo todos los años. El NDA nunca protegió sus datos. Solo protegía la sensación de que estaban protegidos.

La trampa habitual

El discurso dominante sobre ciberseguridad, en 2026, se parece al de 2013: empieza por «proteja sus datos». Presupone un estado inicial en el que sus datos son suyos, en el que viven en sus dispositivos y en las cuentas que usted controla, y en el que la seguridad consiste en impedir que salgan.

Ese estado ya no existe. No existe desde hace mucho tiempo.

Sus direcciones de correo históricas, sus números de teléfono, sus contraseñas con hash (a veces en texto plano), sus contactos, su fecha de nacimiento, sus compras, sus desplazamientos aproximados, la composición estimada de su hogar, su patrimonio inferido — toda esa información ya circula en bases que usted nunca ha consultado, en manos de actores que no conoce, en jurisdicciones donde el RGPD no tiene vigencia.

La ficción del privacy first — la idea de que sus datos son privados por defecto y de que basta con protegerlos para que sigan siéndolo — sirve a todo el mundo menos a usted.

Sirve a los reguladores, que producen derecho (RGPD, CCPA, LGPD, PIPL) presuponiendo una confidencialidad que restaurar, lo que les otorga un mandato continuo y una apariencia de eficacia.

Sirve a los editores SaaS, que venden cifrado, DLPSolución que detecta y bloquea fugas de datos sensibles (correos, archivos, portapapeles).Ver el glosario, CASBSolución que se interpone entre los usuarios y las apps cloud para aplicar políticas de seguridad.Ver el glosario, MFAAutenticación de múltiples factores: combinar dos pruebas de identidad independientes para iniciar sesión.Ver el glosario, y facturan estos productos a empresas que creen comprar protección cuando en realidad compran una postura de cumplimiento.

Sirve a los usuarios, que pueden seguir viviendo como si sus datos fueran privados, porque resulta más cómodo cerrar una caja fuerte que mirar lo que ya se ha escapado.

El resultado:

Endurecemos cajas fuertes mientras la puerta de entrada lleva diez años abierta, y nadie mira por esa puerta.

Inventario honesto de lo que ya ha salido

Sus datos no se fugan en un solo sitio. Se fugan en cinco capas superpuestas, cada una de las cuales obedece a reglas distintas.

Capa 1 — Los brokers de datos

La industria del data brokerage es antigua, masiva y en gran medida invisible para el gran público.

Acxiom, comprado por LiveRamp en 2018, mantiene perfiles sobre unos 2500 millones de personas, con una media de 1500 atributos por perfil. Experian, LexisNexis Risk Solutions, Oracle Data Cloud (antes Datalogix y luego BlueKai), Epsilon — estos nombres aparecen en todos los informes sectoriales desde hace diez años.

Lo que tienen sobre usted: nombre, dirección, teléfono, correo, fecha de nacimiento, composición del hogar, estado civil, hijos, ingresos estimados, patrimonio estimado, propiedad inmobiliaria. Y, aquí es donde empieza a resultar incómodo: compras, navegación web, geolocalización aproximada (recopilada vía las apps móviles que la revenden), hábitos de consumo de medios. Y aún más: scorings predictivos — probabilidad de compra por categoría, riesgo de divorcio, riesgo financiero, etapa de vida, afinidades políticas estimadas.

Cómo llegan sus datos hasta ellos: tarjetas de fidelización de supermercado, formularios web banales (newsletter, concursos, libros blancos), aplicaciones móviles (tiempo, linterna, juegos gratuitos — la palma de oro de la recopilación opaca), acuerdos opacos entre editores SaaS, opt-out por defecto en casillas premarcadas.

El RGPDReglamento europeo 2016/679 sobre la protección de datos personales, aplicable desde mayo de 2018.Ver el glosario impone un derecho de acceso y de supresión, pero en la práctica: los brokers europeos (Mediascope, Schober, Klarna data products) responden parcialmente, los brokers estadounidenses que operan en Europa responden en plazos que rozan los límites legales, y los revendedores en cascada hacen la auditoría imposible — usted solicita la supresión en Acxiom, y su perfil se reinyecta tres meses más tarde desde una fuente secundaria.

Capa 2 — Las leak databases

Have I Been Pwned, el servicio público más visible, indexa en 2026 unos 13 000 millones de cuentas repartidas en varios cientos de breaches. Es la punta del iceberg público — el servicio solo recopila los leaks que se han hecho públicos.

Por debajo están DeHashed, Intelligence X, Snusbase, Constella Intelligence. Estos servicios de pago (de 5 a 300 € al mes según el tier) dan acceso a mucho más: volcados antiguos que nunca entraron en HIBP, contraseñas en texto plano procedentes de breaches mal hasheados (en particular sitios de la década de 2010 que usaban MD5 sin salt), y a veces datos recopilados en foros de la dark web hoy desaparecidos.

Los mercados donde circularon esos volcados han sido incautados o han cerrado — RaidForums (incautado por el FBI en 2022), Breached (cerrado en 2023 tras la detención de su administrador) — pero los volcados en sí han sobrevivido. Se compran de nuevo, se reempaquetan y siguen circulando en manos de actores menos visibles.

Casos emblemáticos que todo el mundo debería conocer:

• Collection #1 (enero de 2019, revelado por Troy Hunt): 773 millones de direcciones de correo únicas, 21 millones de contraseñas en texto plano, agregado de cientos de breaches anteriores
• LinkedIn 2021: 700 millones de perfiles scrapeados, incluidos los correos vinculados a las cuentas (revendidos por 5000 $ el volcado completo)
• Facebook 2019 (publicado en 2021): 533 millones de perfiles, incluidos los números de teléfono
• 23andMe 2023: datos genéticos de 6,9 millones de cuentas, con consecuencias a un horizonte de 50 años
• OPM 2015 (Estados Unidos): 21,5 millones de expedientes de funcionarios federales, incluidas las investigaciones de seguridad

Si usó internet entre 2010 y 2020, estadísticamente figura en al menos uno de esos volcados.

Capa 3 — Los registros públicos

Lo que sigue no es una fuga — es información pública legalmente obligatoria que nadie piensa en incluir en su cartografía de exposición.

En España: el BORME publica los anuncios legales (constituciones de sociedades, nombramientos, concursos de acreedores), el Registro Mercantil y portales como Infocif o Axesor hacen consultables los datos registrales (administradores, cargos sociales, cuentas anuales), la OEPM publica las marcas y patentes. En Reino Unido: Companies House, OpenCorporates. En Estados Unidos: registros estatales (Delaware, Nevada), PACER para las resoluciones judiciales federales. En Suiza: Zefix, además de los registros de la propiedad cantonales según el cantón.

Para un directivo, estas fuentes cartografían en pocos minutos: su vida profesional completa (todas las sociedades en las que ha tenido un cargo, sus fechas, su retribución si era directivo de una sociedad cotizada), sus litigios (toda resolución judicial publicada), sus mudanzas profesionales (cambios de domicilio social), su patrimonio inmobiliario en ciertas jurisdicciones.

El RGPD no se aplica: estos datos son públicos por imperativo legal.

Capa 4 — Los archivos

Internet tiene una memoria que usted no ha elegido.

La Wayback Machine de Internet Archive captura páginas desde 1996. Su web personal alojada en un servicio gratuito en 2008, su perfil de LinkedIn de 2012 cuando era consultor júnior, el foro de discusión en el que estuvo activo bajo su nombre real a los 22 años — todo es consultable, a condición de saber buscar.

archive.today (antes archive.is) ofrece la captura bajo demanda: cualquiera puede tomar un snapshot permanente de una página, sin que usted pueda oponerse. Sin mecanismo oficial de retirada.

La caché histórica de Google se ha reducido progresivamente desde 2020, pero sigue siendo accesible mediante ciertas consultas específicas para páginas antiguas.

Las herramientas OSINT especializadas (Maltego, Spiderfoot HX, Bellingcat Toolkit) consolidan estas fuentes en pocos minutos. Una auditoría seria sobre una persona identificada lleva de dos a cuatro horas.

Capa 5 — Las redes sociales indexadas

LinkedIn es el peor offender para los perfiles profesionales: su CV completo, sus contactos (según sus parámetros), su historial de movilidad, sus posicionamientos públicos a lo largo de diez años, sus «I’m speaking at…» que revelan sus viajes.

Twitter / X conserva dieciséis años de posicionamientos, una parte significativa de los cuales queda indexada por Google incluso tras la eliminación de la cuenta.

Los metadatos a veces son más reveladores que los contenidos: a quién da like, qué comparte, en qué franjas horarias está activo (revela su huso horario y por tanto sus desplazamientos), con quién interactúa con frecuencia (revela su círculo cercano).

Por qué no puede recuperar el control

Llegados a este punto, la tentación es decir: «Vale, hago una limpieza a fondo». Esa tentación es legítima, y está en gran medida abocada al fracaso.

La arquitectura del leak es distribuida. Sus datos no están en un solo sitio, sino en decenas de copias repartidas en múltiples jurisdicciones, en manos de actores con intereses divergentes. Pedir la supresión a uno no borra nada en los demás.

El derecho al olvido tiene un alcance limitado. El artículo 17 del RGPD está condicionado (datos ya no necesarios, retirada del consentimiento, etc.) y sometido a excepciones amplias (libertad de expresión, interés público, reclamaciones judiciales, archivos). En la práctica, la desindexación de Google en la UE funciona, la supresión ante un operador RGPD activo funciona, y el resto funciona mal.

El efecto Streisand existe. Pedir la supresión a menudo amplifica la exposición. Una gestión RGPD agresiva hacia un periódico despierta la memoria institucional. Una solicitud a Google genera una notificación al editor de la página de origen, que puede decidir darle aún más visibilidad.

La reventa es perpetua. Un volcado filtrado en 2019 se revenderá en 2030. Los marketplaces cerrados son reemplazados por otros. El coste marginal de almacenar los volcados es nulo, y su valor se amortiza a lo largo de décadas.

La auditoría es imposible. Usted no sabe quién tiene qué, no puede dirigirse a actores que desconoce. Incluso los servicios de opt-out de brokers (Incogni, DeleteMe, Optery, Privacy Duck) solo cubren una parte de la industria identificada — y no tienen ningún control sobre las leak databases.

El giro estratégico

Aquí es donde se encuentra el giro mental que cambia todo lo demás.

Este giro no es una capitulación. Es un realineamiento con la realidad.

Compartimentación, no confidencialidad

En lugar de intentar «protegerlo todo» — objetivo imposible — usted separa las identidades por uso. Un correo civil para el banco, Hacienda, la comunidad de propietarios. Un correo profesional público para LinkedIn, las conferencias, los medios. Un correo profesional sensible para los expedientes de M&A, litigios, negociaciones. Un correo operativo para los servicios de terceros, las suscripciones, las compras en línea.

Una fuga en la identidad operativa (la más expuesta, por construcción) no contamina la identidad sensible. Es el objeto del artículo Compartimentación de identidad.

Rotación, no permanencia

Una contraseña tiene una vida útil. Una dirección de correo también. Un número de teléfono también.

Contraseña: 3 meses para las cuentas críticas, 6 meses para las demás. Con un gestor de contraseñas, es mecánico.

Dirección de correo operativa: de 12 a 24 meses. Abandona la dirección, redirige los servicios importantes hacia la nueva, deja morir el resto.

Número de teléfono: de 3 a 5 años para el número profesional público, más estable para el civil pero con una vigilancia reforzada sobre el operador (véase SIM swap).

Esta rotación resulta incómoda la primera vez. Después, se convierte en una disciplina, como lavarse los dientes.

Resiliencia, no prevención absoluta

Lo comprometerán un día. La pregunta no es «si», sino «cuándo» y «cómo reacciona».

Preparar la respuesta, no la prevención. Plan de incidente personal de una página, contactos de escalado identificados, cuentas críticas con FIDO2 hardware (que resiste al phishing), backup cifrado almacenado fuera de la jurisdicción principal.

Es el objeto del artículo Respuesta a incidentes sobre el terreno.

Threat modeling a partir de un estado de fuga

El inventario de su exposición conocida (véase La auditoría de exposición) se convierte en el punto de entrada de toda estrategia.

Para cada exposición, usted clasifica: crítica (acción inmediata), sensible (acción programada), pública (aceptada, documentada), benigna (ignorada).

Para cada crítica, usted decide: mutar (cambiar el identificador subyacente), retirar (cerrar la cuenta, solicitar la desindexación), aceptar (con preparación de la respuesta en caso de explotación).

Lo que implica en concreto

Para quién es importante

Para todo el mundo, pero con umbrales de criticidad distintos.

Para el público general: la mayoría de las fugas tiene un impacto difuso — spam dirigido, scams creíbles, a veces SIM swap si el perfil está lo bastante expuesto como para merecer el esfuerzo. La disciplina mínima (correo principal asegurado, FIDO2 sobre lo crítico, auditoría de exposición anual) basta en el 95 % de los casos.

Para los perfiles expuestos: directivos, periodistas, abogados, médicos de personalidades, disidentes, personas con patrimonio visible, personas en litigio familiar o profesional conflictivo. Aquí, la compartimentación pasa a ser estructurante, la auditoría de exposición trimestral, el asesoramiento dedicado para los viajes sensibles. La proporción de inversión personal en seguridad operativa debe ser proporcional a la exposición.

Caso crítico: perfiles implicados en M&A en curso, litigio penal, divorcio conflictivo con stakes financieros significativos, exposición mediática activa. El umbral cambia. Es el objeto del artículo Directivo expuesto.

Errores que se ven constantemente

• «Tengo una VPN, así que estoy protegido.» Confusión entre confidencialidad de tránsito (lo que protege una VPN) y confidencialidad de identidad (que depende de la compartimentación, y nada de una VPN).
• «No tengo nada que ocultar.» Confusión entre ocultar y controlar. A usted le conviene controlar lo que sale, lo que no significa que haya que ocultarlo.
• «He cambiado mis contraseñas.» Sin rotación de las identidades subyacentes — correos, números — solo ha cambiado la cerradura de una puerta que se abre por otras diez entradas.
• «No uso Facebook.» Sin considerar LinkedIn (el más exponedor para los perfiles profesionales), el empleador anterior (CV en caché), la comunidad de propietarios (información residencial), el Registro Mercantil (cargos sociales).
• «La empresa está protegida.» Sin considerar que la persona física que dirige la empresa está expuesta individualmente, y que el atacante apunta a la persona para alcanzar a la empresa.

Checklist accionable

• N1 Hacer la auditoría de exposición personal (HIBP + Google dorks sobre uno mismo) — véase el artículo dedicado
• N1 Asegurar el correo principal y el gestor de contraseñas: FIDO2 hardware, dos llaves como mínimo, sin recuperación por SMS
• N2 Listar los identificadores críticos (correo, teléfono, cuentas financieras, cuentas cloud) y planificar su rotación a 12 meses
• N2 Cartografiar las identidades por uso actual (civil / profesional público / profesional sensible / operativo) — decidir el modelo objetivo
• N2 Identificar las 3 exposiciones más críticas y decidir para cada una: mutar, retirar, aceptar
• N3 Construir un plan de incidente personal (1 página A4): a quién llamar, qué bloquear primero, dónde están los backups
• N3 Para perfil expuesto: auditoría de exposición trimestral por un tercero (mirada nueva)
• N3 Para organización: integrar un indicador 'exposición externa del comité de dirección' en el cuadro de mando de ciberseguridad trimestral
• N3 Para organización: reequilibrar el presupuesto de ciberseguridad con una parte clara para la resiliencia (forense, respuesta, comunicación de crisis)

Para profundizar

Las fuentes estructurantes sobre el tema (libros, informes, periodismo) figuran en el frontmatter de este artículo. Tres lecturas a priorizar si quiere profundizar:

• Bruce Schneier, Data and Goliath (2015) — análisis sistémico de la vigilancia comercial y estatal. Anticuado en algunas cifras, intemporal en los mecanismos.
• Carissa Véliz, Privacy Is Power (2020) — ángulo filosófico y político sobre la privacidad como bien común. Lectura breve, contundente.
• ENISA Threat Landscape, edición anual — el estado del panorama de la amenaza en Europa, actualizado cada año por la agencia europea de ciberseguridad. Lectura larga, útil para encuadrar la vigilancia.

Para las prácticas accionables que se derivan de este encuadre, véanse los demás artículos del eje Realidad de la exposición: La auditoría de exposición, Compartimentación de identidad, Brokers de datos, El derecho al olvido.