La investigación
«Identidades en venta» [PDF] advierte sobre la comercialización de datos personales en América Latina a
través de canales y bots de Telegram. El estudio identifica una tendencia
preocupante en Argentina, Brasil y Perú, donde brokers de datos aprovechan
filtraciones de organismos públicos como la del Renaper para rematar
información personal, el DNI, por menos de 4 dólares.
El estudio realizado por la organización Derechos Digitales entre 2024 y 2025,
identifica un ecosistema automatizado, lo que significa que la venta no suele
ser manual sino que se realiza mediante bots que responden consultas. A través
de esquemas de pago digitales, que van desde cripto hasta Mercado Pago,
brindan el acceso inmediato a información de ciudadanos.
La investigación se desarrolló entre octubre de 2024 y noviembre de 2025, con
foco en Brasil, Perú y Argentina. El objetivo fue identificar las dinámicas de
comercialización de datos personales a través de canales y grupos públicos de
Telegram en América Latina, en contextos donde las desigualdades
estructurales, la debilidad institucional y la escasa efectividad de
protección de datos amplifican los riesgos para la ciudadanía.
La información en venta incluye fotos completas del DNI, de licencias de
conducir, domicilios particulares, historiales financieros, laborales,
información de salud y hasta vínculos comerciales. Estos datos son usados
luego para cometer distintos tipos de ciberdelitos, desde suplantación de
identidad hasta extorsiones.
«Los riesgos derivados de este mercado ilegal no son meramente técnicos. La
disponibilidad y circulación de datos personales en Telegram ha potenciado
formas de violencia, incluyendo la violencia de género facilitada por
tecnologías y la exposición de niñas, niños y adolescentes. Estos hechos
muestran cómo la explotación de datos se cruza con estructuras de
desigualdad y poder preexistentes, convirtiéndose en un mecanismo de
control, silenciamiento y revictimización», dice el reporte.
El estudio advierte que con comandos bastante simples es posible acceder por
una suma ínfima a una radiografía total de la víctima: fotos faciales, firmas
escaneadas, domicilios geolocalizados, historiales de deuda y vínculos
familiares directos.
Este ecosistema de «identidad bajo demanda» se comercializa a precios
marginales, con planes que arrancan en los 3,50 dólares y se abonan a través
de plataformas comunes como Mercado Pago o criptomonedas, que son más
efectivas para dificultar la trazabilidad de las transacciones.
La situación en Argentina y la respuesta de Telegram
Otro tema que el reporte resalta es que se puede acceder a la situación
crediticia de la persona, la “peor situación” registrada, la cantidad de bancos
involucrados, el monto total adeudado, el compromiso mensual (relación entre
ingresos y deuda), el score crediticio, y su tendencia a lo largo del tiempo. En otras palabras, esta sección ofrece una radiografía clara del comportamiento
financiero de la persona”, dice el reporte. Muchos datos son tomados de Nosis,
empresa que recolecta estos datos y que
sufrió una filtración en 2024.
En este sentido, el reporte vincula la venta de estos datos con las
filtraciones que ocurrieron durante estos años en organismos del Estado:
incidentes de alto impacto, como la exposición de
116 mil fotos del Renaper
en 2021, la filtración masiva del mismo organismo de 2024 que expuso
65 millones de registros, el robo de 6 millones de
licencias de conducir
y la
publicación de registros del PAMI
operan como indicios respecto de dónde podría salir la información.
Si bien es imposible confirmar que la información sale de estas filtraciones
con total certeza,
«existen coincidencias con los formatos, estructuras de bases de datos y el
tipo de información que se podría esperar que tengan agencias estatales», explica a Clarín Rafael Bonifaz, Líder del Programa Latinoamericano para la
Resiliencia y Defensa Digital, de Derechos Digitales.
Advierte el especialista:
«En el caso de la ciudadanía, es importante saber que sus datos pueden ser
accesibles para terceras personas a un costo muy bajo. Con tan solo saber el
nombre, el número de DNI o un número de teléfono se puede obtener
información como residencia, CUIL, historial crediticio, deudas, nombres de
familiares y dirección completa, que en algunas ocasiones incluye enlaces a
Google Maps».
Una de las cuestiones más llamativas es lo simple que es acceder a estos bots
de Telegram. La empresa, contactada por este medio, dijo que
«compartir datos privados está explícitamente prohibido por los términos de
servicio de Telegram, y dicho contenido se elimina en cuanto se descubre.
Moderadores, apoyados con herramientas personalizadas de IA, monitorean
proactivamente las secciones públicas de la plataforma y aceptan reportes
para eliminar millones de contenidos dañinos cada día, incluyendo la
difusión de datos privados».
Además, recordaron que este año,
«más de 9,5 millones de grupos y canales han sido bloqueados por violar los
términos de servicio»
de la plataforma. Sin embargo, es sabido que estos canales suelen reaparecer
(«respawnear», en la jerga) bajo otros nombres y que los compradores
tienen técnicas para identificarlos fácilmente.
Bonifaz cree que
«es importante exigir mayor transparencia sobre la actividad de las
plataformas, por ejemplo mediante la publicación de informes periódicos con
información sobre la remoción de contenidos ilícitos, el cumplimiento de
órdenes judiciales y el funcionamiento de sistemas automatizados, como los
bots», asegura. Telegram publica periódicamente este tipo de reportes.
«Otro punto central es garantizar que plataformas como Telegram dispongan
de canales eficaces de denuncia y respuesta rápida. En el caso de
plataformas extranjeras (como Telegram en relación con Argentina), esto
implica exigir que designen representantes legales en el país, capaces de
responder ante las autoridades», cierra Bonifaz.
Beatriz Busaniche, de la
Fundación Vía Libre, organismo que
desde hace más de dos décadas y media denuncia la falta de protección a los
datos personales en Argentina, advierte en diálogo con Clarín:
«Esto muestra la fragilidad sistémica del ecosistema de protección de datos
en Argentina. El Estado centraliza información que no podemos administrar de
forma diferente y no está bajo una custodia apropiada. La base de la Anses
tiene nuestros ingresos y deudas: con solo saber el CUIT de una persona se
puede entrar al Banco Central y ver cuánto consumió con su tarjeta cada mes.
Es información pública que no debería serlo».
En 2024, de hecho, la organización
demandó al Estado Nacional
por la falta de cuidado de los datos, ante la filtración del Renaper, una de
las más grandes del país.
«Los datos tienen un valor alto en el mercado cuando se ponen en volumen.
No tomamos real conciencia de lo que esto significa, no solo por posibles
estafas o extorsiones, sino por la privacidad. Que el Banco Central publique
cuánto gasté de tarjeta me parece una violación total: no soy una persona
pública ni deudora. No tiene sentido que el Estado exhiba esos datos.
Tenemos un grave problema en todo sentido», complementa.
Fuente:
Clarin