Noticias, Privacy

La filtración de Conduent: de 10 millones a 25 millones (y subiendo)

por Pieter Arntz | 26 de febrero de 2026
Logotipos de Conduent y sus principales clientes

La filtración de Conduent se ha convertido silenciosamente en uno de los mayores incidentes de datos de terceros en la historia de Estados Unidos, y la verdadera historia ahora es cuántos programas y empleadores diferentes se ven afectados por ella, incluso para personas que nunca han oído hablar de Conduent.

Cuando cubrimos este incidente por primera vez, los registros públicos sugerían que había aproximadamente 10,5 millones de personas afectadas, concentradas principalmente en Oregón y algunos otros estados. Según las últimas notificaciones estatales, el total asciende a más de 25 millones de personas en todo Estados Unidos, con Texas pasando de una estimación inicial de unos 4 millones a 15,4 millones de residentes afectados, y Oregón manteniéndose en torno a los 10,5 millones.

Esto lo convierte en uno de los mayores casos de violación de datos relacionados con la atención sanitaria jamás registrados, ya que, según se informa, los atacantes pasaron unos tres meses en el entorno de Conduent y sustrajeron alrededor de 8 TB de datos.

¿Cómo es posible que haya tanta gente afectada que nunca ha oído hablar de Conduent?

En 2019, Conduent afirmó que sus sistemas prestaban servicios a más de 100 millones de personas en todo el país y atendían a la mayoría de las empresas de la lista Fortune 100, además de a más de 500 entidades gubernamentales. Esto demuestra lo amplio que es el radio de alcance potencial, aunque no todos esos registros se hayan visto afectados en este incidente.

Conduent está detrás de gran parte de los servicios públicos y las tareas administrativas de las empresas estadounidenses, lo que explica por qué la lista de víctimas parece tan inconexa. Sus plataformas gestionan:

  • Programas de prestaciones estatales como Medicaid, SNAP (Programa de Asistencia Nutricional Suplementaria) y otros pagos gubernamentales en más de 30 estados.
  • Servicios de correo, impresión y procesamiento de pagos para oficinas de prestaciones estatales y programas de asistencia sanitaria, incluidas grandes aseguradoras médicas como los planes Blue Cross Blue Shield.
  • Servicios corporativos para grandes empresas, entre las que se incluye al menos un importante fabricante de automóviles; se ha confirmado que entre las personas cuyos datos han sido expuestos se encuentran casi 17 000 empleados del Grupo Volvo.

¿Quién robó qué?

El ciberataque fue reivindicado posteriormente por la banda de ransomware SafePay.

SafePay denuncia una infracción por parte de Conduent
Imagen cortesía de Comparitech.

Los datos robados van mucho más allá de los datos de contacto. Las cartas de notificación y los documentos presentados ante los organismos reguladores describen:

  • Nombres completos, direcciones postales y fechas de nacimiento.
  • Números de la Seguridad Social y otros identificadores gubernamentales.
  • Información médica, datos del seguro médico y datos relacionados con reclamaciones.

Dado que Conduent procesa datos sobre prestaciones y recursos humanos en nombre de agencias y empleadores, la mayoría de las personas afectadas nunca han interactuado directamente con Conduent y es posible que ni siquiera reconozcan el nombre que figura en el sobre. Si ha recibido prestaciones SNAP, cobertura Medicaid, otra asistencia sanitaria administrada por el estado, o ha trabajado para una organización que externaliza la administración de recursos humanos o reclamaciones a Conduent (o a uno de sus clientes), es posible que sus datos hayan pasado por sus sistemas, aunque su «relación con el cliente» fuera con una agencia estatal, una aseguradora o un empleador.

Por qué esto es peor de lo que parecía en un principio

Hay tres razones por las que esta historia de seguimiento es más grave que la original:

  • Hay más personas involucradas: las cifras brutas pasaron de 10 millones a 25 millones a medida que más estados y clientes corporativos revelaron su participación, lo que demuestra lo opacas que pueden ser las violaciones de terceros al principio.
  • Identificadores permanentes: los números de la Seguridad Social , junto con los datos médicos y de seguros, permiten el robo de identidad a largo plazo, el fraude médico y el phishing altamente dirigido, que pueden acosar a las víctimas durante años.
  • Punto ciego de terceros: para muchas entidades cubiertas, «la infracción» nunca aparecerá en sus propios registros porque la vulneración se produjo en el entorno de un proveedor del que dependen, pero sobre el que no tienen control.

Por lo tanto, cuando llega una carta inesperada de Conduent, no se trata de un error. Es un recordatorio de que sus datos pueden estar en peligro lejos de las organizaciones con las que pensaba que estaba tratando, y que la exposición real de esta violación se extiende mucho más allá de las cifras que figuran en cualquier presentación estatal.

Carta de notificación de violación de datos de Conduent
Carta de notificación de violación de datos de Conduent

Dependiendo de cuáles de sus datos se hayan visto comprometidos, es posible que reciba una carta ligeramente diferente. Si recibe una, puede leer nuestra guía sobre qué hacer después de una violación de datos para comprender cuáles son los siguientes pasos que debe seguir.

No solo informamos sobre amenazas, sino que ayudamos a proteger toda tu identidad digital.

Los riesgos de ciberseguridad nunca deben ir más allá de los titulares. Proteja su información personal y la de su familia utilizando la protección de identidad.


Acerca del autor

Pieter Arntz

Pieter Arntz

Investigador de inteligencia sobre malware

Fue MVP de Microsoft en seguridad del consumidor durante 12 años consecutivos. Habla cuatro idiomas. Huele a caoba y a libros encuadernados en cuero.

ÚLTIMOS ARTÍCULOS

Noticias
Un grupo de personas con gafas de sol de diferentes modelos mirando al cielo y a la cámara.

Un desarrollador crea una aplicación para detectar gafas inteligentes cercanas.

Febrero 25, 2026

Un desarrollador ha creado una Android que busca gafas inteligentes cercanas. No es perfecta, pero puede ayudar a las personas en determinadas circunstancias.

Noticias
sello de verificación de edad

Reddit y sitios web pornográficos multados por los reguladores del Reino Unido por motivos de seguridad y privacidad infantil

Febrero 24, 2026

Ofcom y la Oficina del Comisionado de Información multaron respectivamente a una empresa pornográfica estadounidense y a Reddit por no proteger a los niños en Internet.

Familia y crianza de los hijos
Logotipo de Roblox

Roblox proporciona a los depredadores «herramientas poderosas» para atacar a los niños, afirma el condado de Los Ángeles.

Febrero 24, 2026

El condado de Los Ángeles demandó a la plataforma de juegos en línea Roblox por su presunta incapacidad para proteger a los niños del peligro.

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas