Su falta de conocimiento de Telegram, sumado a un insulto a otros atacantes develó la identidad de un joven de 19 años apuntado en una denuncia
Una pelea entre dos grupos de ciberatacantes terminó destapando la posible identidad del joven uruguayo de 19 años que está detrás del grupo PampaLeaks, uno de los responsables de la filtración de datos de TuID, la plataforma de identidad digital de Antel.
"Tenés 24 horas para contactarnos vía mail. Si no lo hacés, iniciaremos ciberataques seguidos uno atrás del otro". El mensaje, firmado con un saludo "fraterno y leal", se lo enviaron al director de Cibercrimen del Ministerio del Interior horas después del ataque a TuID, la plataforma de identidad digital de Antel, el pasado 7 de mayo.
Casi 10 días más tarde (este lunes), el mismo grupo lanzó una nueva filtración. Esta vez puso a la venta un servicio de "rastreo" de uruguayos y, para demostrar su poderío, filtró datos personales de autoridades como el ministro del Interior, Carlos Negro, y el secretario de la Presidencia, Alejandro Sánchez.
Detrás de todo esto está PampaLeaks, un grupo liderado por un joven de 19 años que ya había atacado en el último año varias organismos del Estado, según una investigación a la que accedió El Observador de la empresa de ciberseguridad BCA LTD, anexada a una denuncia hecha por una víctima de una de las filtraciones.
En esa denuncia se describe el nombre y apellido de la persona, su cédula de identidad, su número de celular, y potencialmente su domicilio y hasta la institución educativa a la que asistió.
Todo empezó con una pelea entre ciberatacantes: PampaLeaks y ExPresidents.
No fue la primera vez que PampaLeaks, el atacante que golpeó a TuID, atacó un organismo.
Desde que se lo conoce, se supo que atacó Ceibal y la plataforma Crea, así como a la Dirección Nacional de Aviación Civil e Infraestructura Aeronáutica (DINACIA), a la base de datos del medio La Diaria, y filtró datos personales de Yamandú Orsi, de clientes del shopping de Las Piedras y de ASSE. También atacó los sitios web de la Fiscalía General de la Nación y la Masonería Uruguaya.
ExPresidents es otro de los grupos cibercriminales más escuchados en el último tiempo: ha atacado al Sucive, a la ANEP, a la web del Partido Nacional, a la Universidad de la República. En general, ha hecho ataques más grandes. Hasta 2025, liberaban la información sin cobrar. Este año empezaron a ejecutar ransomware (que cambió el nombre a DeadPresidents): secuestran información de la víctima, la encriptan y exigen dinero a cambio para liberarla. Y también data extortion: en vez de encriptarla, la roban y la ponen a la venta.
¿Qué vínculo hay entre ambos grupos? La persona que está atrás de PampaLeaks mantuvo discusiones en foros cibercriminales con personas de ExPresidents. El de Pampa insultaba a los miembros de ExPresidents desde 2024 y les atribuía intencionalidad política en sus comentarios.
Desde el grupo ExPresidents nunca le contestaron, pero un día se enojaron y, a principios de 2025, publicaron datos personales de tres atacantes para demostrar quiénes eran en foros cibercriminales. Uno de ellos era el responsable de PampaLeaks, cuyo alias era Uruguayo1337. Lo que hicieron en la jerga del hacking fue "doxear" a este joven de 19 años.
Otro de los que “doxearon” fue a “Vladi”, quién en abril del año pasado terminó preso por atacar la página de Buquebus.
BCA, apenas se "doxeó" el nombre de Uruguayo1337, activó su protocolo de actuación: agendar su número de teléfono en un sistema digital que tienen para investigar a actores de amenazas "sin que él tuviese conocimiento de esto". Lo agendaron con ese mismo nombre.
Así lucía el perfil del integrante de PampaLeaks antes de que se dieran a conocer sus últimos ciberataques. La foto de perfil no es él.
Cuando se agenda el número de teléfono de un usuario en Telegram, la aplicación muestra el nombre con el que esa persona fue guardada en la agenda de contactos.
El propio ciberdelincuente agregó en la descripción los grupos que administraba (en esta app de mensajería se llaman canales). Uno se llamaba @pampabotrefes y el otro @lapampaleaksbf). Desde ahí "lanzan los comunicados" y tienen un canal de contacto con sus posibles compradores, dice BCA en su investigación.
Según comprobó El Observador, el atacante en uno de sus mensajes detalla que acepta pagos mediante criptomonedas y, desde Argentina, transferencias por Mercado Pago.
Y ahí se reveló algo relevante para entender su verdadera identidad.
Para entenderlo, tenés que saber cómo funciona Telegram. Una cosa es el Alias (algo que podés modificar siempre) y otra es el nombre de usuario (algo que podés pedirle a la plataforma y tiene que estar disponible porque es único).
¿Para qué existe el nombre de usuario? Es una funcionalidad de Telegram para que otros te contacten sin necesidad de revelar tu número de teléfono. Es muy valorada por su privacidad.
El ciberdelincuente en cuestión no tenía hasta el momento un nombre de usuario. Pero sí tenía un alias, que era Uruguayo1337. En determinado momento, agregó el nombre de usuario @agesic, que estaba disponible, y tal vez como burlándose del organismo uruguayo. Luego, su alias pasó a ser "Garro", según pudo comprobar El Observador hasta este lunes sobre las 14.00 cuando borró su cuenta de Telegram y también sus canales.
Pero hay un aspecto sustancial que permite entender su identidad: el número ID de Telegram.
¿Qué es? Es un número único e inmutable que identifica internamente a cada cuenta dentro de la plataforma, algo así como “documento identificatorio” de la cuenta.
Significa que aunque el ciberdelincuente haya cambiado de alias y agregara un nombre de usuario en Telegram, la cuenta siempre mantenía el mismo ID
Según la reconstrucción de BCA LTD, el usuario mantenía su número de celular como privado e invisible para el público general. Sin embargo, desconocía una excepción: su número permanecía visible para aquellos contactos que ya lo tenían agendado previamente. De esta forma, pudo vincularlo al mismo ID de Telegram.
Es decir, el mismísimo funcionamiento interno de Telegram que el atacante desconocía terminó identificándolo, según la denuncia.
Al ciberdelincuente le interesa mucho llamar la atención.
El 5 de noviembre de 2025, el ciberdelincuente le escribió un mensaje privado al director de BCA, según consta en la denuncia. "Vamos a tener una charla. Así sacás notas. A ver si comés un poco más esta semana", acompañada de un emoji de risa.
En la denuncia, el director de BCA LTD dice: "Si bien nosotros no establecemos contacto con este tipo de actores, intentó de forma insistente y en reiteradas ocasiones llamar nuestra atención, particularmente la mía. Todos estos intentos fueron ignorados".
En el canal de Telegram donde publicaba sus ataques, también realizaba "mensajes contra autoridades o fuerzas del orden", se indica en la investigación. Por ejemplo, cuando Antel comunicó que presentó la denuncia en Fiscalía, el atacante publicó un link de la nota de El Observador donde se daba esta noticia y un mensaje adjunto que decía: "Denuncien a fiscalia nomas.. desde ese antro ya nos andan buscando desde hace tiempo (sic)".
"Un saludo enorme a los de agesic y los de delitos informaticos que son los responsables directos por mentir en nuestro nombre y provocarnos. besos (sic)", puso en noviembre del año pasado.
Además, el jueves 7 de mayo, luego del ataque a TuID de Antel, el ciberdelincuente envió un mail a las personas que aparecieron listadas en el link adjunto que decía: "Una amenaza directa al director de cibercrimen: tenes 24 horas para contactarnos via mail solo para hablar cordialmente con nosotros si no lo haces.. iniciaremos ciberataques seguidos uno atras de otro como esos que saben bien que nos gustan hacer. apartir (sic) de 24 horas despues de este mensaje que sabemos que no lo vas a hacer igualmente pero si lo haces cumpliremos nuestra palabra y nos detendremos. un saludo fraterno y leal para todos ustedes arriba el gran maestro y el gran arquitecto que todo lo ve seguiremos vigilando.. no nos reten o ya saben lo que sucedera (sic)".
En un dossier que está adjunto en la denuncia, BCA LTD describe su ego: "Disfruta de vanagloriarse en línea de sus hechos delictivos, lo que aporta evidencia en forma constante y trivial. El acercamiento con perfiles de 'periodistas' y 'fans' da buenos resultados. La crítica o la competencia lo enfurecen".
También agrega que el atacante "borra sus publicaciones y ataques cuando no tienen la suficiente cobertura mediática. Tiene la misma costumbre con mensajes y comentarios cuando nadie los reacciona o corresponde".
A su vez, BCA LTD establece que critica ataques de otros grupos y a la prensa "que les da más importancia que a los suyos" y asegura que "profesa un profundo desprecio por los partidos políticos de izquierda" y "particularmente por el Frente Amplio", al cual designó como su 'objetivo principal' por los próximos años".
En general, el actor desfigura sitios web de terceros, como el de Buquebus que afectó junto a "Vladi", persona que fue a prisión preventiva y fue formalizado por seis delitos. "Los políticos de Uruguay son una basura, Orsi corrupto", se leyó en un mensaje posteado por el ciberdelincuente en la web de Buquebus, lo que trascendió el 19 de marzo del año pasado.
Su forma de monetizar ha sido comunicada por él mismo como usuario y de forma explícita cuando lanzó PampaBot, presentada como "servicio de consulta de datos gubernamentales uruguayos" que opera con consultas en Telegram. El documento lo resume así: "Este servicio transforma la filtración de datos en una plataforma de ciberinteligencia lista para usar".
La finalidad de este servicio ilegal es, a partir de datasets aislados, dar información a un precio. Para demostrar la fidelidad de esto, los atacantes publicaron la escolaridad del narcotraficante Sebastián Marset para evidenciar el acceso al sistema, según pudo constatar El Observador.
Esto tenía un costo, pero luego de un tiempo el creador de PampaLeaks cambió su forma de hacer negocio con este sistema. "Ahora está solo para personas exclusivas y de confianza por lo que se cerraron las ventas", asegura en la descripción de su cuenta de Telegram.
Ese fue el primer servicio de "inteligencia". Pero este lunes puso a la venta uno nuevo, con más información. En este caso, no le puso nombre, pero aseguró que funciona como un sistema de consultas personalizadas donde un cliente envía datos básicos de una persona —como nombre, apellido o cédula— y el operador (él) verifica si existen registros asociados en supuestas bases vinculadas a organismos estatales uruguayos. Si hay información disponible, el usuario paga en Bitcoin y recibe un informe que, según el nivel contratado, puede incluir domicilios, contactos, vínculos familiares y otros datos personales. El esquema plantea distintos precios según la cantidad de información obtenida, con reportes que van desde búsquedas básicas hasta perfiles más completos.
Pero no es todo.
Según se desprende de la investigación, el joven de 19 años también tiene una cuenta de Instagram llamada @nuncacardeaste. Este alias hace alusión al "carding": es una modalidad de fraude digital en la que delincuentes utilizan datos robados de tarjetas de crédito o débito para realizar compras ilegales por internet, probar si las tarjetas siguen activas o incluso vender esa información en foros clandestinos.
Según se pudo observar, el joven creó un sitio web falso para comprar entradas para shows musicales en el Antel Arena. Solo muestra shows del 2025 que eran reales. Cuando uno cliquea para "comprar", pide poner todos los datos de la tarjeta bancaria y una leyenda al final que dice: "No se guardan datos". "Seguridad máxima".
El Ministerio del Interior y Fiscalía tomaron contacto con la denuncia, según pudo saber El Observador.