¿Tus datos están realmente seguros? Lo que el caso Rutify reveló a toda LATAM

A finales de abril, miles de chilenos descubrieron que su información médica, su RUT y sus datos de contacto estaban disponibles para cualquiera que quisiera buscarlos. No en la dark web. En una página de acceso abierto, indexada públicamente, con una interfaz tan simple como un buscador. La plataforma se llamaba Rutify, y estuvo activa casi 48 horas antes de ser bloqueada. Para entonces, el daño ya estaba hecho.

Lo que hizo este incidente especialmente revelador no fue la sofisticación del ataque, sino lo contrario: los atacantes no necesitaron vulnerar una infraestructura robusta. Correlacionaron bases de datos filtradas con anterioridad, accedieron a sistemas de centros médicos a través de módulos ya expuestos y aprovecharon credenciales comprometidas de un funcionario público para ampliar su alcance. En otras palabras, las puertas estaban abiertas desde mucho antes. Nadie las había verificado.

Lamentablemente, los chilenos no están solos, pues ya han ocurrido filtraciones previas de datos de ecuatorianos, brasileños, mexicanos, argentinos y colombianos, entre muchos otros ciudadanos latinoamericanos.

Mi país, Ecuador, vivió uno de los casos más graves de la región en 2019, cuando una base de datos de la empresa Novaestrat expuso información de aproximadamente 20 millones de personas – incluidos ciudadanos fallecidos – con números de cédula, registros financieros y datos familiares completos. Y en años posteriores han ocurrido filtraciones adicionales de datos en distintas entidades que han permitido a los ciberdelincuentes actualizar esta base.

Brasil, por su parte, enfrentó en 2021 una filtración masiva que comprometió información atribuida a más de 220 millones de ciudadanos, incluyendo historiales tributarios y datos de vehículos. México tampoco escapó al problema: diversas filtraciones relacionadas con padrones electorales, entidades gubernamentales y aseguradoras han dejado expuestos millones de registros personales durante la última década.

En Argentina y Colombia se han reportado igualmente incidentes que involucraron datos de salud, registros financieros y credenciales gubernamentales. El patrón se repite con inquietante frecuencia: bases de datos mal protegidas, credenciales reutilizadas, sistemas expuestos y una cultura organizacional que sigue tratando la protección de datos como un requisito administrativo y no como un asunto crítico de seguridad nacional.

¿Tu empresa sabe si sus puertas también están abiertas?

Un caso que le habla directamente a cada CEO de la región

El incidente Rutify, ocurrido entre el 30 de abril y el 2 de mayo de 2026 en Chile, expuso datos médicos de pacientes del sistema público de salud, información de telecomunicaciones y potencialmente credenciales vinculadas a plataformas de autenticación del Estado. La Agencia Nacional de Ciberseguridad de Chile (ANCI) descartó un ciberataque reciente como origen, pero su propia explicación fue la más reveladora: los atacantes simplemente reorganizaron y reutilizaron datos previamente filtrados, construyendo una base consolidada que facilitaba ataques de phishing, suplantación de identidad y extorsión.

Este es el patrón que está dominando el panorama de amenazas en 2026 en toda la región. No estamos hablando necesariamente de grupos de ransomware con recursos de Estado. Estamos hablando de actores que explotan lo que ya existe: accesos no revocados, vulnerabilidades sin parchear, controles de identidad frágiles.

Y Latinoamérica ofrece terreno fértil para ello. Según el Informe Global sobre el Panorama de Amenazas 2026 de Fortinet, solo en 2025 se registraron 843,4 billones de intentos de ciberataques en la región. Las organizaciones latinoamericanas enfrentan en promedio más de 3.000 ataques por semana, la cifra más alta entre todas las regiones medidas globalmente. A esto se suma que el costo promedio de una brecha en la región supera los USD 2,5 millones según IBM, y el tiempo promedio para identificarla supera los 200 días.

Doscientos días. Más de seis meses con el atacante adentro, sin que nadie lo note.

¿Por qué el pentesting es la respuesta que ninguna empresa puede seguir postergando?

La pregunta que la mayoría de los líderes empresariales evita hacerse es simple: si alguien intentara entrar hoy a mis sistemas, ¿lo sabría? ¿Cuánto tiempo tardaría en detectarlo? ¿Qué encontraría?

El pentesting, o prueba de penetración, es precisamente el ejercicio de responder esas preguntas antes de que lo haga un atacante real. Un equipo especializado simula las técnicas y tácticas que usaría un actor malicioso: explora el perímetro, prueba credenciales, busca configuraciones incorrectas, identifica datos expuestos. Y entrega un informe con todo lo que encontró, junto con recomendaciones prioritarias para cerrar cada brecha.

Lo que el caso Rutify deja claro es que muchas de las vulnerabilidades explotadas no eran nuevas ni sofisticadas. Eran exactamente el tipo de hallazgos que un pentesting rutinario habría identificado y permitido corregir antes de que fueran aprovechados:

• Módulos de sistemas expuestos públicamente sin autenticación adecuada.
• Credenciales de funcionarios comprometidas y no monitoreadas.
• Bases de datos con información sensible accesibles desde la web.
• Ausencia de controles de correlación para detectar exfiltración silenciosa de datos.

Ninguna de estas debilidades requería un ataque de día cero. Solo requería que nadie las hubiera buscado.

Lo que debes exigir como líder: pruebas reales antes de sufrir las consecuencias

En 2026, el pentesting empresarial ya no es una práctica exclusiva del sector financiero o de las grandes corporaciones. Es un componente estratégico de la gobernanza de riesgo corporativo. Y la pregunta ya no es si tu organización puede permitirse hacerlo, sino si puede permitirse no hacerlo.

El costo de una brecha en LATAM supera con creces el costo de una evaluación preventiva. Las consecuencias legales bajo marcos como la LOPDP en Ecuador, la LGPD en Brasil o legislaciones equivalentes en la región pueden derivar en sanciones significativas. El impacto reputacional puede tardar años en revertirse. Y la pérdida de contratos, de clientes y de confianza rara vez aparece en ningún informe contable.

Como CEO, CTO o líder de tu organización, tienes la responsabilidad de hacer tres preguntas concretas esta semana:

• ¿Cuándo fue la última vez que alguien intentó entrar a nuestros sistemas de forma controlada para identificar vulnerabilidades?
• ¿Tenemos un inventario actualizado de todos los sistemas, accesos y datos expuestos externamente?
• ¿Podría un atacante correlacionar información de nuestra empresa con otras brechas públicas para construir un vector de ataque?

Si la respuesta a cualquiera de estas preguntas es «no lo sé», ya tienes tu punto de partida.

El patrón que expuso el caso Rutify es regional, estructural y perfectamente replicable. La pregunta no es si algo similar podría ocurrirle a tu organización. La pregunta es si lo detectarías a tiempo.

Las organizaciones que entienden esto no esperan a ser la noticia. Actúan antes.

Si quieres saber cuál es el estado real de la seguridad de tu empresa, comienza con una conversación.