Un grupo llamado LaPampaLeaks afirmó haber obtenido de los sistemas internos de Ceibal una base de datos con información de un millón de ciudadanos uruguayos. El anuncio fue realizado en un foro de la dark web conocido como DarkForums, donde se suelen compartir filtraciones y bases de datos robadas.
Los atacantes publicaron una muestra gratuita con 33.000 registros, según publicó la empresa Birmingham Cyber Arms, que analizó el ataque en detalle.
Allí aparecen datos como el nombre completo, el número de cédula, el historial de los dispositivos entregados, el número de serie de cada computadora, el modelo, un código único de identificación del equipo (UUID), el número de venta y la fecha y hora exacta en que se asignó la máquina.
El grupo describió que esta información provendría directamente de la red interna de Ceibal y que los dispositivos “son rastreables e identificables por Ceibal”. En otras palabras, cada computadora puede vincularse de manera precisa a un estudiante, docente o funcionario, con su historial de uso y los datos técnicos que la identifican.
Expertos en ciberseguridad consultados por El Observador aseguran que esa información puede convertirse en un eslabón más para amedrentar a un usuario concreto. Disponer de la identidad asociada a cada registro resulta especialmente peligroso en ataques dirigidos. Un atacante puede amedrentar a un usuario con tener esta información, sumada a otra que encuentre en internet (y en otras filtraciones anteriores).
Los atacantes aseguraron que el incidente fue perpetrado en julio de 2025 y señala que los datos fueron difundidos públicamente el 29 de setiembre de 2025. Según los atacantes, lo expuesto es apenas “la punta del iceberg”. "Esta operación es parte de algo mucho más grande", escribieron en el posteo.
Explicación de los términos técnicos y riesgos
Los ciberdelincuentes resaltaron que la base no solo incluye datos personales, sino también información técnica de cada computadora.
Se trata de un registro que muestra qué computadoras pasaron por cada persona y en qué momento. De esta forma, es posible reconstruir la secuencia de entregas y usos de los equipos del Plan Ceibal.
Los números de serie y los datos de asignación con fecha y hora exacta agregan más detalles, ya que permiten conocer cuándo recibió su computadora cada usuario y qué modelo le fue entregado. Estos datos, combinados con la cédula y el nombre completo, hacen que la información pueda usarse para identificar y seguir a cada ciudadano.
El grupo también aseguró haber accedido a la plataforma educativa CREA, que utilizan estudiantes, docentes y funcionarios. Según lo publicado, lograron extraer más de 1,2 millones de cuentas y explicaron que las fotos de perfil subidas por los usuarios contenían información en sus metadatos, lo que permitiría identificar y ubicar a las personas que compartieron imágenes públicas. En palabras del posteo, “cualquier usuario de CREA que compartió una foto de perfil pública puede ser rastreado”.
El mensaje advierte que la base podría ser utilizada por “cualquier servicio de inteligencia para buscar ciudadanos uruguayos”.
Qué dice Ceibal tras el ataque
Ceibal informó que "no hubo ningún ataque ni acceso" a la red interna ni a las bases de datos de la entidad. Además, se agregó que "no se accedió al historial de uso del dispositivo de nuestras personas beneficiarias ni a la información de la plataforma CREA".
Al mismo tiempo, aclaró que sí se produjo "una filtración mediante la que se accedió a datos referentes a la asignación de dispositivos".
Según Ceibal, los datos fueron tomados de un informe específico y no se comprometió el funcionamiento de los sistemas internos."En cuanto a CREA, resaltamos que no se accedió a la base de datos de personas usuarias de CREA", señaló la institución.
La entidad precisó que "se vulneró el perfil de un usuario y a partir de ese usuario se accedió a los datos de perfiles de otros". Ceibal expresó que "queremos hacer énfasis en una afirmación falsa. Las computadoras y tablets no utilizan huella digital hace más de una década".
La institución detalló además que los equipos "no tienen UUID, el código único que funciona como huella digital del equipo".
Por último, Ceibal sostuvo que "nuestros equipos técnicos y los de Agesic están actuando de forma coordinada para identificar el origen y el alcance de la filtración".
La entidad cerró el comunicado indicando que "cualquier información adicional será comunicada oficialmente una vez que contemos con más elementos confirmados".
