Un informe de una empresa de ciberseguridad que llegó a las autoridades, y al que pudo acceder El Observador, describe a “LaPampaLeaks” como un actor activo desde diciembre de 2024, con “movimientos recientes y significativos en los últimos 90 días”.
Según el informe, PampaBot integra bases de datos estatales con millones de registros. Se listan “Dirección Nacional de Identificación Civil (ciudadanos): 6.4M (millones de) registros (familiares, direcciones, contactos, teléfonos)”, “Sucive Multas: 6M de registros”, “ANEP Escolaridad: 2.2M de registros” y “Plan Ceibal: 2.3M de registros”.
Se trata de una interfaz que responde de forma automatizada, unificando información de identidad, contacto, vehículos, escolaridad y dispositivos, y habilitando búsquedas que cruzan nombres, matrículas y relaciones familiares en segundos.
El actor exhibió ejemplos para demostrar su alcance. En el material se mencionan “ejemplos públicos” que mostraron datos de autoridades uruguayas y “personas de interés (incluyendo al presidente y a un director forense de Cibercrimen)”.
La finalidad, según el informe, es probar que el sistema funciona, que cualquier persona puede ser perfilada y que la plataforma escala el impacto al pasar de “datasets aislados” a un servicio activo disponible bajo un costo. Los atacantes publicaron la escolaridad del narcotraficante Sebastián Marset para evidenciar el acceso al sistema, según pudo constatar El Observador.
En el foro cibercriminal donde venden el servicio aseguran: “Gracias a este servicio, obtuvimos el número de teléfono del presidente de Uruguay y otros datos que nos han sido útiles para investigar a personas de interés”.
Además, el sistema permite acceder a un “Historial de multas por matrícula y geolocalización de vehículos”, útil para reconstruir rutinas y desplazamientos, y “datos académicos y dispositivos del Plan Ceibal (incluyendo tracking inverso por UUID)”, que vincula equipos con usuarios y habilita un rastreo inverso sensible, especialmente cuando involucra menores y docentes.
El informe también caracteriza el entorno del actor: se presenta como hacktivista con foco en Uruguay y Sudamérica, pero combina esa narrativa con la venta de datos y “servicios pagos en Tor (navegador cifrado)”, además de asesoría en métodos de pago anónimos como con las criptomonedas Bitcoin, Monero y USDT.
En lenguaje y ubicación, se observa predominio del inglés y algunas palabras en español. En la evolución analizada en Uruguay, los analistas encontraron que el grupo pasó de encontrar documentos personales a accesos a sistemas, y de venta exclusiva a filtraciones públicas de gran escala, en algunos casos de hasta “170 GB”.
Impacto en la ciudadanía: fraudes, extorsiones y doxing
El documento advierte un “acceso masivo y automatizado a datos personales de ciudadanos” con “potencial para fraude, extorsión, doxing, y ataques selectivos”.
Con direcciones, teléfonos y contactos disponibles, un estafador puede personalizar llamadas y mensajes para suplantar identidad, operar phishing más creíble y ejecutar trámites falsos que superen controles básicos. La verosimilitud que aporta la información real aumenta la tasa de éxito del fraude y reduce las señales de alerta para la víctima.
La extorsión también encuentra un terreno más fértil. El cruce de datos familiares con matrículas y multas facilita presiones directas: el agresor puede amenazar con publicar información sensible o exhibir conocimiento de la rutina de una persona.
Con reportes de “geolocalización de vehículos”, se abre la puerta a seguimientos y chantajes que trascienden lo digital y afectan la seguridad física.
El doxing —la publicación maliciosa de datos personales— se vuelve más simple cuando la consulta está a un mensaje de Telegram. La exposición pública de domicilios, teléfonos y redes de contacto puede derivar en esos ataques dirigidos, dice el estudio.
La situación de Ceibal agrega un riesgo particular. Al existir “tracking inverso por UUID”, un dispositivo puede vincularse con un usuario o familia, lo que habilita escenarios de vigilancia y acoso sobre sectores vulnerables. En un contexto doméstico, que un tercero pueda inferir dónde y cuándo se usa un equipo que pertenece a un menor o a un docente agrava el riesgo físico.
Los investigadores señalan que “LaPampaLeaks” han dado un "salto cualitativo": de actor hacktivista filtrador a proveedor de servicios de ciberinteligencia (PampaBot), integrando datos de múltiples organismos del Estado uruguayo. Este cambio multiplica el riesgo para las entidades y los ciudadanos afectados y refuerza la necesidad de acciones coordinadas entre el sector público y privado para contener su impacto”, dice el informe.
Tacuara: un actor independiente que amenaza al Estado uruguayo
Además de PampaLeaks, hay otro grupo que viene causando estragos en el Estado uruguayo. Se llama “Tacuara” y ha realizado al menos 15 publicaciones entre marzo y septiembre de 2025, según el informe.
El 30 de septiembre de 2025, “Tacuara” difundió gratuitamente una base de datos de 15GB de anep.edu.uy. Incluye 3 millones de registros personales con nombres, direcciones, teléfonos, correos y datos de usuarios y docentes.
Entre los organismos comprometidos figuran ANEP, MIDES, SODRE, Corte Electoral, DNIC y MTSS, entre otros. También fueron alcanzadas AGESIC, la OPP y el sistema de patentes SUCIVE, según se detalla en el reporte.
“El actor ha evolucionado de filtraciones pequeñas a accesos a sistemas gubernamentales”, indica el documento.
Alterna publicaciones gratuitas con ventas, y ha llegado a ofrecer bases de datos por US$ 100 a US$ 2000.
El informe señala que utiliza lenguaje extremista, anti-LGBTQ+ y con referencias fascistas en sus mensajes.
“Esto sugiere una combinación de motivaciones financieras e ideológicas”, advierte el análisis.
El estilo de comunicación es informal, directo y transaccional, con errores comunes en contextos no profesionales. Publica en español con mezcla de inglés técnico y se presume que opera desde “la zona horaria GMT -3”.
“Tacuara representa una amenaza seria y persistente para la seguridad de la información en Uruguay”, concluye el informe. Se advierte un riesgo reputacional, operativo y de escalamiento, dada su capacidad de impacto y anonimato.
