Una cronología de filtraciones y ataques informáticos que expusieron datos personales, documentos internos y archivos sensibles de organismos públicos y empresas privadas durante 2025.
La Masonería, el Banco Hipotecario del Uruguay, el Mides, la Fiscalía, Ceibal, ANEP y Sucive. Estas fueron solo algunas de las instituciones que sufrieron los ciberataques más graves que se registraron en Uruguay durante 2025.
A lo largo del año, distintos actores publicaron o pusieron a la venta bases de datos, archivos internos y accesos a sistemas que dijeron pertenecer tanto a organismos públicos como a entidades privadas. La información apareció en foros cibercriminales de la internet profunda, canales de mensajería y espacios de compraventa digital, generalmente acompañada de muestras o descripciones del contenido.
En muchos de esos ataques se pudieron ver accesos a datos personales básicos de miles de uruguayos, como nombres, cédulas de identidad, teléfonos o correos electrónicos. En otros, el contenido incluye documentos administrativos, grabaciones internas (charlas de Zoom, por ejemplo), credenciales de acceso y hasta archivos completos de sistemas de trabajo.
Uno de los primeros organismos mencionados es el Instituto Nacional de Logística (INALOG). Según la reseña realizada por la empresa de ciberseguridad BCA LTA, un actor identificado como hacker_levup compartió un volcado completo de una base de datos que atribuyó a esa institución. El episodio fue clasificado como una filtración de datos.
Durante marzo de 2025, el listado comienza a concentrar casos vinculados al Estado. En ese mes aparece la Universidad de la República, con la publicación a la venta de un lote de datos atribuido al actor ExPresidents, uno de los grupos más activos en Uruguay durante el último año. En el mensaje, afirmaron poseer información de más de 500 docentes, con direcciones de correo electrónico institucionales y personales, además de nombres completos y datos académicos. Los registros corresponderían a distintas facultades, como Medicina, Química, Ciencias Sociales, Agronomía e Ingeniería, e incluirían referencias a cargos, fechas de nacimiento y, en algunos casos, al régimen de Dedicación Total, lo que sugiere su origen en sistemas de gestión interna.
En marzo también fue atacado el Instituto Nacional de Donación y Trasplante de Células, Tejidos y Órganos (INDT). Se publicó a la venta un lote de datos del organismo, dentro del mismo patrón de filtraciones asociadas a instituciones públicas.
Ese mes figura un primer episodio que involucra al Ministerio de Desarrollo Social (Mides). Según la reseña, se ofreció a la venta un lote de datos que incluía documentos internos y cédulas de identidad. El hecho fue atribuido al actor DexTeam. Ese ataque no fue el más grave que sufrió el Mides.
Marzo suma además a la Dirección Nacional de Migraciones. En este caso, la reseña aporta un número concreto: 14.877 formularios de solicitud de visa en formato PDF, con información personal de personas extranjeras que tramitaron su ingreso a Uruguay. Según lo señalado por Birmingham Cyber Arms, la mayoría de las solicitudes corresponderían a ciudadanos cubanos y pakistaníes, aunque también aparecen personas de países como Afganistán, Angola, Argelia, China, Kenia, Camerún, Senegal y Palestina. Los archivos incluyen datos como nombre completo, sexo, fecha de nacimiento, nacionalidad, estado civil, datos del pasaporte y domicilio en el país de origen, y abarcan tanto trámites recientes como de hace más de diez años, incluidos casos de menores de edad.
En abril de 2025 aparece un episodio distinto, vinculado a accesos a sistemas. La reseña señala que un actor identificado como LaPampaLeaks publicó capturas de pantalla para demostrar que tendría accesos remotos a servidores de la Fiscalía de Uruguay.
El Mides vuelve a aparecer ese mismo mes en un segundo episodio. En esta ocasión, la reseña indica la publicación a la venta de 37.756 archivos que incluirían identificación nacional, fecha de nacimiento, nombre completo, unidad familiar, direcciones, números de teléfono y correos electrónicos. El actor señalado es Tacuara.
Abril también incorpora un caso sensible vinculado a la Universidad de la República, a través de su Comisión Sectorial de Investigación Científica (CSIC). Según el texto, se publicó a la venta el código fuente completo y las credenciales del sistema interno de gestión de personal. La reseña menciona ejemplos del contenido expuesto, como nombres de usuario, contraseñas, números de identificación y nombres completos. El episodio fue atribuido al actor ExPresidents.
La Administración Nacional de Educación Pública (ANEP) aparece por primera vez en abril: se publicó a la venta una base de datos del organismo que incluía credenciales de administrador, lo que implica accesos con altos niveles de privilegio.
En mayo de 2025 la víctima fue el Sucive: el Sistema Único de Cobros de Ingresos Vehiculares. Según la reseña, se publicó a la venta una base con 618.00 registros que incluían cédula de identidad del conductor, matrícula y números de chasis y motor del vehículo.
Durante junio de 2025, el listado incorpora al Ministerio de Trabajo y Seguridad Social (MTSS). El texto afirma que se publicó a la venta una base con 350.800 registros, que contenían números de cédula de identidad, nombres completos, teléfonos móviles y correos electrónicos.
Ese mismo mes aparece una de las filtraciones más sensibles por el tipo de información involucrada. La reseña indica que se publicó a la venta una base con 1.645.000 registros de vacunación, con nombres, cédulas de identidad, datos de contacto, dosis y vacunas asignadas, supuestamente extraídas de AGESIC.
En agosto de 2025, Tacuara atacó al gobierno. Según la reseña, se publicó a la venta un lote de 170 GB de archivos que incluirían grabaciones de reuniones de Zoom realizadas en 2020 y 2021.
Septiembre concentra varios de los casos más graves del año.
Por ejemplo, la venta de una base de datos del Plan Integral de Atención en Salud del Ministerio de Salud Pública, con datos como nombre completo, cédula de identidad, número de teléfono, última dosis, estado civil y fecha de ingreso.
En ese mismo mes aparece uno de los listados más detallados: la filtración atribuida a la Corte Electoral de Uruguay. Según el texto, se publicó a la venta un lote con 622.649 registros extraídos del sitio web oficial.
La reseña enumera una gran variedad de información incluida en ese conjunto, como nombre completo, documento, teléfono, correo electrónico y ocupación, además de foto de identificación y datos vinculados a trámites oficiales.
También se mencionan series y números de credencial cívica, multas, montos, ubicaciones, declaraciones juradas en distintos formatos y documentación asociada a votos, actas, juramentos y trámites de identificación.
Septiembre incluye además a Ceibal, con una base que, según la reseña, contenía un millón de registros. Aparecieron nombres completos, números de identificación nacional, números de serie de dispositivos e historial de usuarios.
Ese mismo mes aparece un segundo episodio vinculado a ANEP. La reseña indica la publicación a la venta de 2,7 millones de registros que abarcarían desde 2017 hasta la actualidad y que afectarían a docentes, estudiantes y personal.
El ataque al BHU: el más grave de la historia
En octubre de 2025, el sector público vuelve a aparecer asociado al ransomware y se comete el ciberataque más grave que conoce Uruguay hasta la fecha: el grupo internacional crypto24 anunció al Banco Hipotecario del Uruguay como nueva víctima.
Fueron 700 GB donde había expedientes calificados como “reservados” por un plazo de quince años. En esos expedientes se fundamenta que su divulgación podría implicar la pérdida de ventajas competitivas para el banco, de acuerdo con las normas de confidencialidad vigentes.
También había expedientes judiciales vinculados a grandes grupos empresariales, así como propuestas de conciliación presentadas por el banco en el marco de litigios. El material también incluye registros relacionados con procesos de ejecución hipotecaria, desde las intimaciones iniciales hasta las resoluciones judiciales y eventuales expropiaciones.
El ataque fue la consecuencia de una acumulación de fallas y de una cultura institucional que relegó la ciberseguridad.
El Banco Central del Uruguay había emitido advertencias desde al menos 2014. Hubo una “evaluación integral” realizada por la Superintendencia de Servicios Financieros del BCU en 2020 y una posterior instancia de “seguimiento” en 2021.
Entre las organizaciones privadas mencionadas, marzo de 2025 incluye la filtración a una empresa de automóviles. Según la reseña, se publicó a la venta una base de datos con información como nombre, correo electrónico y contraseña, atribuida al actor ExPresidents.
Marzo también registra un ataque de ransomware contra una proveedora de compañías aéreas. La reseña indica que el grupo Apos Security anunció a la empresa como nueva víctima.
Ese mismo mes aparece la Masonería Uruguaya. La reseña afirma que se publicó a la venta un lote de 13 GB de archivos que contendrían información de sus miembros y grabaciones de videollamadas.
En abril de 2025 la víctima fue una multinacional dedicada a la ingeniería civil y evaluación de pavimentos. El texto indica que se publicaron a la venta 586 GB de datos pertenecientes a la empresa.
Ese mes también aparece una firma agropecuaria: según la reseña se publicó a la venta una base de datos con credenciales de administrador, atribuida al actor ExPresidents.
En julio de 2025 se menciona una filtración del periódico. El texto indica que se publicó una base de datos perteneciente al medio que contenía credenciales de acceso.
Julio incluye además un caso vinculado a comercio electrónico. La reseña describe la publicación a la venta del acceso y la base de datos completa de un sitio de e-commerce uruguayo, con detalles de 1.756 transacciones con tarjeta.
El texto agrega que ese material incluía panel de administración y registros técnicos vinculados a tarjetas de crédito. El episodio fue atribuido al actor charley88.
En septiembre se reporta una filtración que involucran a dos compañías que tienen un sistema de facturación electrónica. Según la reseña, el lote contenía correos electrónicos e información de usuarios, clientes y logística. Dentro de esa logística se mencionan datos sobre vehículos, recorridos y choferes. El episodio fue atribuido al actor ExPresidents.
Ese mismo mes aparece un caso de ransomware contra instituciones académicas.