Un viento de pánico sopló en los medios y las redes sociales debido al supuesto ciberataque a la Caja de Asignaciones Familiares (CAF). Sin embargo, el verdadero objetivo era una plataforma del Ministerio de Deportes, Juventud y Vida Asociativa. Un repaso a una confusión que tomó una magnitud inesperada.
Las 3 informaciones que no debes perderte
- La CAF no fue pirateada; fue una plataforma vinculada al Ministerio de Deportes la que fue víctima de un ciberataque.
- El grupo de hackers Dumpsec es el responsable del ataque, habiendo sustraído 22 millones de registros.
- El Ministerio de Deportes confirmó la intrusión y anunció medidas para contener los daños.
Una confusión mediática en torno a la CAF
Durante más de veinticuatro horas, la información de que la CAF había sido pirateada circuló sin interrupción. Este rumor fue alimentado por un cibercriminal francés que afirmó ser el autor de esta hazaña. Sin embargo, en realidad se trataba de una manipulación. El verdadero objetivo era una plataforma del Ministerio de Deportes, associations.gouv.fr, dedicada a las asociaciones.
Clément Domingo, también conocido como SaxX, un hacker ético, expresó desde el principio su escepticismo respecto a este supuesto ataque contra la CAF. Hoy, se confirma que la CAF nunca fue afectada por este ciberataque.
El verdadero pirateo: una plataforma del Ministerio de Deportes
El grupo de hackers Dumpsec orquestó el ataque a la plataforma associations.gouv.fr el 3 de noviembre de 2025. Haciéndose pasar por una asociación legítima, explotaron una falla de seguridad para extraer 22 millones de registros en una sola noche. Este grupo, ya conocido por sus operaciones similares, incluso publicó detalles sobre su método, ilustrando así un sentimiento de impunidad.
La revelación de estos hechos ocurre seis semanas después del ataque inicial, debido a una disputa entre Dumpsec y un fabulador que se había atribuido erróneamente la responsabilidad del ataque, amenazando así su «negocio». Dumpsec decidió entonces difundir pruebas para reivindicar su acción.
Reacción del Ministerio de Deportes e impacto en los ciudadanos
El Ministerio de Deportes reconoció oficialmente la intrusión el 19 de diciembre y precisó que el Pass Sport fue efectivamente el objetivo de los cibercriminales. Un comunicado transmitido por BFMTV menciona una «exfiltración de datos» y la implementación de medidas para mitigar las consecuencias del ataque. Se presentará una denuncia y la CNIL será notificada en un plazo de 72 horas.
Aproximadamente 3,5 millones de hogares están afectados por esta fuga masiva de datos. El ministerio se compromete a informar rápidamente a las personas afectadas y a proporcionarles «recomendaciones de seguridad». Mientras tanto, Dumpsec ya ha revelado su intención de monetizar los datos robados, destacando una nueva falla en la seguridad de los servicios públicos digitales.
El grupo Dumpsec: un actor conocido de los ciberataques
Dumpsec es un grupo de hackers notorio, acostumbrado a este tipo de operaciones. Su experiencia en cibercriminalidad ya se ha manifestado en varias ocasiones, con ataques dirigidos a diversas instituciones. Este último ataque a una plataforma gubernamental ilustra su capacidad para explotar fallas de seguridad con una eficacia temible.
El método de Dumpsec a menudo se basa en la ocultación y la suplantación de identidad, haciéndose pasar por entidades legítimas. Su transparencia respecto a sus procedimientos demuestra su confianza en un sistema que perciben como vulnerable e incapaz de perseguirlos eficazmente.
