Un grupo llamado LaPampaLeaks afirmó haber obtenido de los sistemas internos de Ceibal una base de datos con información de un millón de ciudadanos uruguayos. El anuncio fue realizado en un foro de la dark web conocido como DarkForums, donde se suelen compartir filtraciones y bases de datos robadas.
Los atacantes publicaron una muestra gratuita con 33.000 registros, según publicó la empresa Birmingham Cyber Arms, que analizó el ataque en detalle.
Allí aparecen datos como el nombre completo, el número de cédula, el historial de los dispositivos entregados, el número de serie de cada computadora, el modelo, un código único de identificación del equipo (UUID), el número de venta y la fecha y hora exacta en que se asignó la máquina.
El grupo describió que esta información provendría directamente de la red interna de Ceibal y que los dispositivos “son rastreables e identificables por Ceibal”. En otras palabras, cada computadora puede vincularse de manera precisa a un estudiante, docente o funcionario, con su historial de uso y los datos técnicos que la identifican.
Expertos en ciberseguridad consultados por El Observador aseguran que esa información puede convertirse en un eslabón más para amedrentar a un usuario concreto. Disponer de la identidad asociada a cada registro resulta especialmente peligroso en ataques dirigidos. Un atacante puede amedrentar a un usuario con tener esta información, sumada a otra que encuentre en internet (y en otras filtraciones anteriores).
Los atacantes aseguraron que el incidente fue perpetrado en julio de 2025 y señala que los datos fueron difundidos públicamente el 29 de setiembre de 2025. Según los atacantes, lo expuesto es apenas “la punta del iceberg”. "Esta operación es parte de algo mucho más grande", escribieron en el posteo.
Explicación de los términos técnicos y riesgos
Los ciberdelincuentes resaltaron que la base no solo incluye datos personales, sino también información técnica de cada computadora. Uno de los elementos mencionados es el UUID, un código único que funciona como una “huella digital” del equipo. Este identificador permite reconocer a cada máquina de forma individual, incluso si se cambia de dueño.
El historial de dispositivos es otro de los puntos sensibles. Se trata de un registro que muestra qué computadoras pasaron por cada persona y en qué momento. De esta forma, es posible reconstruir la secuencia de entregas y usos de los equipos del Plan Ceibal.
Los números de serie y los datos de asignación con fecha y hora exacta agregan más detalles, ya que permiten conocer cuándo recibió su computadora cada usuario y qué modelo le fue entregado. Estos datos, combinados con la cédula y el nombre completo, hacen que la información pueda usarse para identificar y seguir a cada ciudadano.
El grupo también aseguró haber accedido a la plataforma educativa CREA, que utilizan estudiantes, docentes y funcionarios. Según lo publicado, lograron extraer más de 1,2 millones de cuentas y explicaron que las fotos de perfil subidas por los usuarios contenían información en sus metadatos, lo que permitiría identificar y ubicar a las personas que compartieron imágenes públicas. En palabras del posteo, “cualquier usuario de CREA que compartió una foto de perfil pública puede ser rastreado”.
El mensaje advierte que la base podría ser utilizada por “cualquier servicio de inteligencia para buscar ciudadanos uruguayos”.
Qué dice Ceibal tras el ataque
Desde Ceibal informaron que detectaron una filtración de "datos básicos de la plataforma Crea".
"Ceibal está trabajando con carácter prioritario en la evaluación de la situación y en la definición de los pasos a seguir. En este momento, los equipos técnicos de Ceibal y AGESIC están actuando de forma coordinada para identificar el origen y el alcance de la filtración, siguiendo los protocolos correspondientes", aseguraron en un comunicado.
Según informaron al mediodía de este martes, aseguraron "que no se accedió a la infraestructura de Ceibal", donde están "almacenadas las bases de datos, sino que los datos fueron tomados de un reporte externo".
Y agregaron: "Dada la sensibilidad del tema, cualquier información adicional será comunicada oficialmente una vez que se cuente con datos confirmados".
