Las 10 mayores brechas de datos en Francia [2026]
Descubra las 10 mayores brechas de datos en Francia. Desde France Travail hasta Cegedim. Explicación de multas de la CNIL, normas de notificación y prevención.
![Las 10 mayores brechas de datos en Francia [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_es_blog_brechas_datos_francia_f140b9b3e905_155c0b67c7.png&w=3840&q=75)
Esta página se tradujo automáticamente. Lee la versión original en inglés aquí.
- La brecha de France Travail (marzo de 2024) expuso los datos personales de hasta 43 millones de solicitantes de empleo, convirtiéndola en la mayor brecha de datos de la historia de Francia. La CNIL multó a France Travail con 5 millones de euros en enero de 2026 en virtud del artículo 32 del RGPD, donde la multa máxima para un organismo público es de 10 millones de euros.
- Entre 2024 y 2025, se expusieron más de 145 millones de registros pertenecientes a ciudadanos franceses en servicios públicos, sanidad, telecomunicaciones y comercio minorista, lo que equivale a múltiples brechas por cada residente francés.
- Tres de las cuatro principales empresas de telecomunicaciones francesas (Free, Bouygues Telecom, SFR) confirmaron brechas de datos en 2024-2025, con Free y Bouygues Telecom por sí solas exponiendo los IBAN de más de 11 millones de suscriptores en conjunto.
- La CNIL impuso multas combinadas récord de 42 millones de euros a Free Mobile (27 M) y Free (15 M) el 13 de enero de 2026, lo que indica un paso de las advertencias a la aplicación punitiva de la ley.
- Los responsables del tratamiento franceses deben notificar las brechas de datos personales a la CNIL en un plazo de 72 horas en virtud del artículo 33 del RGPD. Los operadores de importancia vital (OIV) y de servicios esenciales (OSE) notifican adicionalmente a la ANSSI; la transposición de la directiva NIS2 a la legislación francesa seguía en curso en 2026.
1. Introducción#
Francia se ha convertido en una de las jurisdicciones con más brechas de datos de Europa. Entre 2024 y 2025, se expusieron más de 145 millones de registros pertenecientes a ciudadanos franceses en servicios públicos, sanidad, telecomunicaciones y comercio minorista, lo que significa que estadísticamente cada residente francés ha formado parte de múltiples brechas. Según la CNIL, en 2024 se recibieron más de 5.600 notificaciones de brechas, un nuevo máximo histórico.
Whitepaper empresarial de Passkeys. Guías prácticas, patrones de despliegue y KPIs para programas de passkeys.
Este artículo enumera las 10 brechas de datos más significativas de la historia reciente de Francia, desde los 43 millones de registros expuestos en el incidente de France Travail hasta la filtración del software de salud de Cegedim Santé, junto con las normas de notificación de la CNIL, las multas y los patrones de prevención que se aplican a cualquier organización que opere en Francia.
Artículos recientes
♟️
Problemas del día 2 de las claves de acceso: 5 riesgos tras el lanzamiento
🔑
¿Por qué el manejo seguro de documentos es esencial para las empresas modernas?
♟️
Por qué incluso su contraseña más compleja será descifrada pronto
♟️
Reutilización de contraseñas en Japón: sigue en el 84 % [2026]
♟️
El papel de la IA en la detección de ciberamenazas
2. ¿Por qué Francia es un objetivo atractivo para las brechas de datos?#
El sector público altamente digitalizado de Francia, su denso ecosistema de pagos en el sector de la sanidad y tres grandes operadores de telecomunicaciones que poseen cada uno decenas de millones de registros de suscriptores se combinan para producir una superficie de ataque desproporcionada. A esto se suma la infrainversión crónica en ciberseguridad en relación con los países de su entorno y la ingeniería social dirigida a los asesores de primera línea, y el resultado es la serie récord de brechas que Francia experimentó en 2024-2026.
2.1 Sector público altamente digitalizado#
Francia tiene uno de los sistemas de gobierno electrónico más avanzados de Europa. FranceConnect, la federación nacional de identidad, enruta el acceso a los impuestos, la sanidad, el empleo y las prestaciones familiares. Por lo tanto, una única cuenta de asesor comprometida puede exponer registros que abarcan décadas, como se vio con France Travail, Pass'Sport y la OFII. El sector público conserva los datos de los ciudadanos desde la cuna hasta la tumba, creando una concentración de registros confidenciales incomparable en escala.
2.2 Denso ecosistema de procesadores externos#
Los seguros de salud franceses dependen de un pequeño número de plataformas de "terceros pagadores" (Viamedis, Almerys, Cegedim) que procesan datos para docenas de mutuas. Por lo tanto, una intrusión se propaga a decenas de millones de asegurados. El mismo patrón es visible en las telecomunicaciones (la brecha de Bouygues Telecom de 2025 a través de un proveedor externo) y en el comercio electrónico. Incluso las organizaciones con programas maduros de seguridad interna siguen expuestas a través de sus redes de proveedores.
2.3 Infrainversión crónica en ciberseguridad#
Análisis independientes como el de Edouard.ai estiman el gasto público de Francia en ciberseguridad en aproximadamente un 0,03 % del PIB (una estimación, no una cifra oficial), notablemente inferior al de otros países europeos. Históricamente, las multas medias de la CNIL se mantuvieron por debajo de las de sus homólogos de la UE, lo que redujo el efecto disuasorio financiero para una seguridad laxa, una brecha que el regulador está cerrando ahora con sanciones récord contra Free Mobile, France Travail y otros.
2.4 Ingeniería social y deficiencias en la MFA#
Varios de los mayores incidentes franceses (France Travail, Viamedis, Free) comenzaron con ataques de phishing o usurpaciones de cuentas en portales de asesores o empleados que no exigían una MFA resistente al phishing. En cada caso, los atacantes se dirigieron a los humanos en el extremo en lugar de a la infraestructura central. La Alianza FIDO clasifica las claves de acceso como resistentes al phishing por diseño, ya que cada clave de acceso está vinculada al origen legítimo y no se puede reproducir contra sitios controlados por el atacante. Los servicios públicos y las empresas de telecomunicaciones francesas que aún no han implementado claves de acceso o autenticación respaldada por hardware siguen expuestos a la misma clase de ataque.
3. Las 10 mayores brechas de datos en Francia#
Las diez mayores brechas de datos en Francia desde 2023 expusieron al menos 145 millones de registros en conjunto y desencadenaron multas de la CNIL por un total de 47 millones de euros hasta enero de 2026. Abarcan servicios públicos (France Travail, Pass'Sport), plataformas sanitarias (Viamedis, Almerys, Cegedim Santé), telecomunicaciones (Free, Bouygues Telecom) y comercio minorista de consumo (ManoMano, Sport 2000). La siguiente tabla resume el alcance, el año y el resultado normativo; a continuación se presentan descripciones detalladas de los casos y patrones de prevención.
| # | Empresa / Entidad | Año | Registros o alcance | Resultado normativo |
|---|---|---|---|---|
| 1 | France Travail | 2024 | Hasta 43 millones | Multa de 5 M EUR CNIL (2026) |
| 2 | ManoMano | 2026 | Hasta 37,8 millones (reclamados) | En revisión |
| 3 | Viamedis y Almerys | 2024 | 33 millones | Investigación de la CNIL en curso |
| 4 | Free / Free Mobile | 2024 | 24,6 millones (5,11 M IBAN) | Multa de 42 M EUR CNIL (2026) |
| 5 | Cegedim Santé (MLM) | 2025 | 15 millones | Investigación penal abierta |
| 6 | France Travail (MOVEit) | 2023 | 10 millones | Sin multa separada de la CNIL |
| 7 | Bouygues Telecom | 2025 | 6,4 millones (con IBAN) | Notificación a la CNIL y a la ANSSI |
| 8 | Pass'Sport | 2025 | 6,4 millones de direcciones de correo electrónico | Notificación a la CNIL |
| 9 | Sport 2000 | 2024 | 3,2 millones | Indexado en HIBP, notificación a la CNIL |
| 10 | Fédération Française de Football | 2025 | ~2,4 millones de miembros federados | Notificación a la CNIL |
3.1 Brecha de datos de France Travail (2024)#
| Detalles | Información |
|---|---|
| Fecha | Marzo de 2024 |
| Número de clientes afectados | Hasta 43 millones |
| Datos filtrados | - Nombres completos - Fechas y lugares de nacimiento - Números de la seguridad social (NIR) - ID de France Travail - Direcciones de correo electrónico - Direcciones postales - Números de teléfono |
En marzo de 2024, France Travail (anteriormente Pôle Emploi) y Cap Emploi revelaron lo que ahora se considera la mayor brecha de datos de la historia de Francia. Los atacantes utilizaron ingeniería social para secuestrar las cuentas de los asesores de Cap Emploi (la organización de apoyo a las personas con discapacidad) y accedieron a los datos de todas las personas que se habían registrado en los últimos 20 años, así como a los candidatos con un perfil en francetravail.fr. Según la CNIL, hasta 43 millones de personas pueden haberse visto afectadas.
El 22 de enero de 2026, la CNIL multó a France Travail con 5 millones de euros en virtud del artículo 32 del RGPD, donde el límite legal máximo para un organismo público es de 10 millones de euros. El regulador citó la "ignorancia de los principios esenciales de seguridad" y ordenó medidas correctivas bajo una sanción de 5.000 euros diarios. Esta era ya la segunda brecha de France Travail: en agosto de 2023, un incidente de terceros vinculado al grupo de ransomware Cl0p que explotaba una vulnerabilidad de día cero en MOVEit Transfer ya había expuesto los datos de 10 millones de usuarios.
Métodos de prevención:
- Exigir una MFA resistente al phishing (claves de acceso) para todas las cuentas de asesores y administradores que accedan a datos masivos de ciudadanos
- Aplicar la detección de anomalías en consultas masivas y normas estrictas de retención de datos en las bases de datos de ciudadanos
3.2 Brecha de datos de ManoMano (2026)#
| Detalles | Información |
|---|---|
| Fecha | Febrero de 2026 |
| Número de clientes afectados | Hasta 37,8 millones (reclamados) |
| Datos filtrados | - Datos de identidad - Datos de contacto - Información administrativa |
En febrero de 2026, el gigante francés del comercio electrónico de bricolaje ManoMano fue nombrado por actores de amenazas en una venta de datos referenciada en múltiples rastreadores franceses de ciberseguridad. El actor afirmó haber comprometido hasta 37,8 millones de registros de clientes, incluidos datos de identidad, datos de contacto e información administrativa. La magnitud de la afirmación es coherente con la base acumulada de usuarios de la UE de la plataforma en lugar de los clientes franceses activos, pero el incidente sigue siendo una de las mayores ventas de datos vinculadas a Francia jamás observadas.
La exposición subraya cómo los grandes mercados de consumidores en Francia se han vuelto igual de atractivos para los atacantes que los bancos o las empresas de telecomunicaciones, especialmente cuando los datos se pueden combinar con filtraciones anteriores para crear "gráficos de identidad" para el fraude.
Métodos de prevención:
- Supervisar continuamente los foros clandestinos y los mercados de brechas en busca de listas de clientes expuestas y aplicar límites estrictos de velocidad de las API en los puntos finales de los clientes
- Minimizar la retención de perfiles de clientes históricos de baja actividad
3.3 Brecha de datos de Viamedis y Almerys (2024)#
| Detalles | Información |
|---|---|
| Fecha | Enero-febrero de 2024 |
| Número de clientes afectados | 33 millones |
| Datos filtrados | - Nombres - Fechas de nacimiento - Datos de la aseguradora - Números de la seguridad social - Estado civil - Derechos de pago a terceros |
En enero y febrero de 2024, Viamedis y Almerys, dos procesadores franceses de pagos de terceros para seguros de salud complementarios, sufrieron brechas en rápida sucesión. La CNIL confirmó que, en conjunto, los incidentes afectaron a 33 millones de personas, casi la mitad de la población de Francia.
La intrusión en Viamedis se rastreó hasta un ataque de phishing dirigido a profesionales sanitarios, que permitió a los atacantes reutilizar credenciales robadas en el portal del proveedor. Se sospecha que Almerys se vio afectada a través de un portal similar para profesionales sanitarios.
"Es la primera vez que se produce una violación de esta magnitud." — Yann Padova, exsecretario general de la CNIL (2024)
Métodos de prevención:
- Implementar MFA resistente al phishing (claves de acceso) para cada profesional de la salud que acceda a datos de miembros asegurados
- Segmentar las plataformas de terceros pagadores de modo que un portal comprometido no pueda exponer toda la base de datos nacional
Integra passkeys como Payment Provider mediante un SDK de terceros.
3.4 Brecha de datos de Free (2024)#
| Detalles | Información |
|---|---|
| Fecha | Octubre de 2024 |
| Número de clientes afectados | 24,6 millones de contratos (19,46 M Free Mobile + 5,17 M Free), incluidos 5,11 M de IBAN |
| Datos filtrados | - Nombres completos - Direcciones de correo electrónico - Fechas de nacimiento - Direcciones postales - Números de teléfono - 5,11 millones de IBAN (solo Free) |
En octubre de 2024, Free (el segundo ISP más grande de Francia y una filial del grupo Iliad) confirmó que unos atacantes habían comprometido una herramienta de gestión interna y exfiltrado datos sobre 19,46 millones de contratos de Free Mobile y 5,17 millones de Freebox, incluidos los IBAN de los 5,11 millones de clientes de Freebox. Los datos se subastaron rápidamente en BreachForums por un actor de amenazas conocido como "drussellx", y la puja final alcanzó los 175.000 euros.
Free hizo hincapié en que las contraseñas, los datos de las tarjetas de pago y el contenido de las comunicaciones no se vieron afectados, pero la combinación de IBAN, nombre completo y fecha de nacimiento es suficiente para el fraude por domiciliación bancaria y el phishing de alta calidad. El 13 de enero de 2026, la CNIL sancionó a Free Mobile con 27 millones de euros y a Free con 15 millones de euros (42 millones de euros en total) por la inadecuada seguridad en torno a los datos de los suscriptores, una de las mayores sanciones conjuntas del RGPD jamás emitidas en Francia por una brecha de datos.
Métodos de prevención:
- Proteger las herramientas internas con privilegios con MFA resistente al phishing y acceso justo a tiempo
- Tokenizar los IBAN y los identificadores de pago para que los registros de los suscriptores no se puedan monetizar directamente
3.5 Brecha de datos de Cegedim Santé (MLM) (2025)#
| Detalles | Información |
|---|---|
| Fecha | Octubre de 2025 |
| Número de clientes afectados | Aproximadamente 15 millones de pacientes |
| Datos filtrados | - Datos administrativos del paciente (apellidos, nombre, sexo, etc.) - 19 millones de registros a lo largo de 15 años |
En octubre de 2025, unos atacantes vulneraron "MonLogicielMedical.com" (MLM), un software de gestión de consultorios médicos editado por Cegedim Santé y utilizado por miles de profesionales sanitarios franceses. Según el Ministerio de Salud francés, el incidente comprometió los datos administrativos de aproximadamente 15 millones de pacientes franceses, abarcando hasta 15 años de historia y 19 millones de líneas de registros digitales.
En su aclaración de febrero de 2026, Cegedim Santé afirmó que los datos en cuestión eran exclusivamente administrativos (información de tipo identidad, como apellidos, nombre y sexo), y que los registros clínicos estructurados, los comentarios médicos de texto libre y los diagnósticos confidenciales, como el estado serológico respecto al VIH, no estaban involucrados. El 27 de octubre de 2025 se abrió una investigación penal por "violación de un sistema automatizado de datos".
"Potencialmente la mayor filtración de la historia de la sanidad francesa." — Gérôme Billois, experto en ciberseguridad en Wavestone (octubre de 2025)
Métodos de prevención:
- Imponer una autenticación sólida (claves de acceso) para cada profesional que acceda al software médico en la nube
- Aplicar una estricta minimización de datos y separación entre los datos de identidad administrativa y los registros clínicos en las plataformas médicas SaaS
Prueba passkeys en una demo en vivo.
3.6 Brecha en MOVEit de France Travail (2023)#
| Detalles | Información |
|---|---|
| Fecha | Agosto de 2023 |
| Número de clientes afectados | Aproximadamente 10 millones |
| Datos filtrados | - Nombres completos - Números de la seguridad social - Datos de contacto |
Antes del incidente que acaparó los titulares en 2024, France Travail ya había sido víctima de una brecha de terceros vinculada al grupo de ransomware Cl0p que aprovechaba una vulnerabilidad de día cero en el software Progress MOVEit Transfer. El ataque expuso la información personal de aproximadamente 10 millones de solicitantes de empleo, incluidos nombres, NIR y datos de contacto. Formó parte de la oleada global de la cadena de suministro de MOVEit que afectó a cientos de organizaciones en todo el mundo y presagió la brecha aún mayor de 2024 de la misma agencia.
Métodos de prevención:
- Mantener un inventario actualizado del software de transferencia de archivos de terceros expuesto a Internet y aplicar parches virtuales para las ventanas de día cero
- Segmentar los canales de transferencia de archivos de las bases de datos principales de recursos humanos y ciudadanos
3.7 Brecha de datos de Bouygues Telecom (2025)#
| Detalles | Información |
|---|---|
| Fecha | Agosto de 2025 |
| Número de clientes afectados | 6,4 millones |
| Datos filtrados | - Nombres completos - Direcciones postales - Números de teléfono - Fechas de nacimiento - Datos del contrato - IBAN |
El 4 de agosto de 2025, Bouygues Telecom, uno de los principales operadores de telefonía móvil de Francia con unos 14,5 millones de suscriptores móviles y una base de clientes total de aproximadamente 23 millones, detectó un ciberataque contra un sistema de gestión de clientes. Dos días después, la empresa confirmó que los atacantes habían accedido a datos personales y contractuales de 6,4 millones de clientes, incluidos los IBAN. Las contraseñas y los números de tarjetas de pago no se vieron comprometidos.
La brecha, que se cree que se originó en un proveedor externo, se notificó a la CNIL y a la ANSSI. En virtud del artículo 323-1 del Código Penal francés, el atacante se enfrenta a hasta tres años de prisión por el acceso no autorizado a un sistema automatizado de procesamiento de datos, cifra que se eleva a cinco años cuando se alteran los datos o se deteriora el sistema. La propia Bouygues Telecom se enfrenta al escrutinio del RGPD por parte de la CNIL por su gestión de riesgos de terceros. El incidente forma parte de un patrón más amplio que también afectó a SFR (septiembre de 2025, datos bancarios) y a Free en 2024-2025.
Métodos de prevención:
- Tratar a los proveedores externos como parte de la superficie de ataque principal y requerir una MFA resistente al phishing en todos los sistemas conectados
- Tokenizar los IBAN y otros identificadores de pago para limitar el valor del robo masivo de datos
3.8 Brecha de datos de Pass'Sport (diciembre de 2025)#
| Detalles | Información |
|---|---|
| Fecha | Diciembre de 2025 |
| Número de clientes afectados | 3,5 millones de hogares (6,4 millones de direcciones de correo electrónico únicas) |
| Datos filtrados | - Identidades del beneficiario y de los padres - Datos de contacto - Información administrativa |
Pass'Sport es un programa del gobierno francés gestionado por el Ministerio de Deportes que proporciona una subvención de 70 euros (anteriormente 50 euros) a los jóvenes que cumplan los requisitos para afiliarse a clubes deportivos. La noche del 17 al 18 de diciembre de 2025, apareció en línea un archivo de 15 GB que contenía más de 22 millones de líneas de datos. Los informes de los medios iniciales atribuyeron erróneamente la filtración a la Caisse d'Allocations Familiales (CAF), que negó públicamente cualquier intrusión en caf.fr. Posteriormente, el Ministerio de Deportes confirmó que los datos procedían del sistema de información Pass'Sport, que cubría aproximadamente a 3,5 millones de hogares y 6,4 millones de direcciones de correo electrónico únicas de beneficiarios y de sus padres o tutores.
Los registros expuestos abarcaban el período comprendido entre septiembre de 2024 y noviembre de 2025 e incluían identidades completas, direcciones postales, números de teléfono y direcciones de correo electrónico, pero ningún dato bancario ni contraseñas. El conjunto de datos es particularmente valioso para el phishing dirigido contra familias con menores de edad, y una gran parte se ha indexado desde entonces en Have I Been Pwned.
Métodos de prevención:
- Aplicar la protección más estricta posible a los sistemas que procesan datos de menores, incluida la MFA obligatoria resistente al phishing para los administradores
- Minimizar la duración durante la cual se conservan los datos de los beneficiarios tras la finalización del programa
Consulta cuántas personas usan passkeys realmente.
3.9 Brecha de datos de Sport 2000 (2024)#
| Detalles | Información |
|---|---|
| Fecha | Abril de 2024 |
| Número de clientes afectados | 3,2 millones de direcciones de correo electrónico únicas (4,4 millones de registros) |
| Datos filtrados | - Nombres completos - Direcciones de correo electrónico - Números de teléfono - Direcciones postales - Fechas de nacimiento - Historial de compras por tienda |
En abril de 2024, el minorista francés de artículos deportivos Sport 2000 sufrió una brecha de datos que más tarde fue indexada por Have I Been Pwned. Un actor de amenazas que operaba bajo el alias "ChatNoir7331" publicó a la venta en un foro de piratería una base de datos de 4,4 millones de filas con 3,2 millones de direcciones de correo electrónico únicas, y el conjunto de datos se volvió a publicar de forma gratuita posteriormente en junio de 2024. La filtración incluía nombres, direcciones de correo electrónico y postales, números de teléfono, fechas de nacimiento e historial detallado de compras vinculado a ubicaciones de tiendas concretas.
La combinación de datos de contacto e historial de compras por tienda hace que la filtración de Sport 2000 sea particularmente útil para el phishing altamente dirigido ("su reciente compra en Sport 2000 Lyon...") e ilustra cómo los minoristas franceses medianos pueden producir brechas a escala de consumidor cuando las bases de datos de marketing están mal segmentadas.
Métodos de prevención:
- Segmentar las bases de datos transaccionales y de marketing, y rotar los tokens de acceso utilizados por las herramientas de marketing de terceros
- Minimizar la retención de datos históricos de compras vinculados a clientes identificables
3.10 Brecha de datos de la Fédération Française de Football (2025)#
| Detalles | Información |
|---|---|
| Fecha | 2025 |
| Número de clientes afectados | Aproximadamente 2,4 millones de miembros federados |
| Datos filtrados | - Identidades de los miembros - Fechas de nacimiento - Datos de contacto - Números de licencia |
En 2025, la Fédération Française de Football (FFF) reveló una brecha que expuso los datos personales de sus miembros federados. La FFF publica aproximadamente 2,38 millones de miembros federados para la temporada 2023-2024. Según la propia notificación de "vol de données" de la FFF, el incidente abarcó datos de identidad y de contacto (nombres, fechas de nacimiento, números de licencia y algunos documentos de identidad) y excluyó explícitamente los datos de salud. El incidente de la FFF formó parte de una oleada que también afectó a la Fédération Française de Voile, la Fédération Française de Gymnastique, la Fédération Française de Tir y otras, lo que confirma que las federaciones deportivas francesas son un objetivo atractivo debido a sus grandes conjuntos de datos almacenados históricamente y a sus presupuestos de seguridad de TI comparativamente débiles.
Métodos de prevención:
- Priorizar la inversión en ciberseguridad en federaciones y organizaciones sin fines de lucro que mantienen décadas de datos de los miembros
- Eliminar los registros históricos que ya no son necesarios para operar las licencias
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case study4. Cómo notificar una brecha de datos en Francia#
Los responsables del tratamiento franceses deben notificar a la CNIL una brecha de datos personales en el plazo de 72 horas a partir del momento en que tengan conocimiento de ella, en virtud del artículo 33 del RGPD. Si es probable que la brecha suponga un alto riesgo para las personas afectadas, el artículo 34 del RGPD exige que se les notifique sin demora indebida. Los operadores de importancia vital (OIV) y los operadores de servicios esenciales (OSE) notifican adicionalmente a la ANSSI; la transposición completa de la directiva NIS2 a la legislación francesa seguía en curso en 2026.
4.1 Regla de las 72 horas del RGPD (Artículo 33)#
Según el artículo 33 del RGPD, un responsable del tratamiento debe notificar a la CNIL una brecha de datos personales a más tardar 72 horas después de tener conocimiento de ella. Si la notificación se retrasa, el responsable del tratamiento debe justificar los motivos del retraso. La notificación debe describir la naturaleza de la brecha, las categorías y el número aproximado de personas afectadas, las posibles consecuencias y las medidas adoptadas o propuestas.
4.2 Autoridad competente: la CNIL#
A diferencia de las 16 APD estatales de Alemania, Francia cuenta con una única autoridad de control nacional: la Commission Nationale de l'Informatique et des Libertés (CNIL). La CNIL hace cumplir el RGPD tanto para los responsables del sector público como del privado y tiene el poder de imponer multas administrativas de hasta 20 millones de euros o el 4 % del volumen de negocios anual global, la cifra que sea mayor. Las recientes sanciones conjuntas contra Free Mobile y Free (42 millones de euros, de los cuales 27 millones contra Free Mobile) y France Travail (5 millones de euros) demuestran que la CNIL ha pasado de las advertencias a la aplicación de medidas punitivas.
4.3 Notificación a la ANSSI para OIV, OSE y NIS2#
Los operadores de importancia vital (OIV) y los operadores de servicios esenciales (OSE) deben notificar además los incidentes cibernéticos importantes a la ANSSI, la agencia nacional francesa de ciberseguridad. La directiva NIS2 amplía la notificación obligatoria a más sectores, incluidos los proveedores de servicios digitales, la fabricación y la gestión de residuos. Su transposición a la legislación francesa aún estaba en curso en 2026, y la ANSSI ha declarado que se comunicará durante todo el proceso; la Comisión Europea también emitió un dictamen motivado por la transposición incompleta. Una vez que entre en vigor, los informes seguirán un calendario por fases: una alerta temprana en 24 horas, una notificación completa en 72 horas y un informe final en el plazo de un mes.
4.4 Notificación individual (Artículo 34)#
Cuando es probable que una brecha entrañe un alto riesgo para los derechos y libertades de las personas, el artículo 34 del RGPD exige la notificación directa a las personas afectadas en un lenguaje claro y sencillo. Los casos de France Travail, Viamedis, Free y Cegedim Santé desencadenaron todos obligaciones en virtud del artículo 34. La falta de notificación es un factor desencadenante frecuente de sanciones reglamentarias adicionales además de la brecha subyacente.
5. Tendencias de las brechas de datos en Francia#
Cuatro patrones se repiten a lo largo de los diez casos: la concentración de datos de los ciudadanos en un sector público altamente digitalizado, la vulneración de terceros y de la cadena de suministro como punto de entrada dominante, el credential stuffing que convierte a los portales públicos franceses en objetivos fáciles y una CNIL que se está poniendo al día rápidamente en la aplicación de la ley. Comprender estos patrones es más útil que memorizar incidentes individuales.
5.1 La digitalización del sector público crea una superficie de ataque a nivel nacional#
France Travail, OFII, FICOBA y Pass'Sport muestran la cantidad de datos de ciudadanos que se concentran en unas pocas plataformas públicas. Una cuenta de asesor comprometida en Cap Emploi fue suficiente para exponer 43 millones de registros; una integración de socio de Pass'Sport filtrada fue suficiente para exponer a 3,5 millones de hogares. La dependencia de Francia de FranceConnect y de los inicios de sesión compartidos en los servicios públicos amplifica este riesgo: una sola contraseña comprometida vinculada a un NIR puede desbloquear múltiples servicios públicos a la vez.
5.2 Los proveedores externos son un eslabón débil crítico#
Viamedis, Almerys, Cegedim Santé, Bouygues Telecom y el incidente de MOVEit de France Travail en 2023 comparten la misma causa fundamental: la vulneración en un tercero, no en la marca principal. Incluso las organizaciones con programas maduros de seguridad interna siguen estando expuestas a través de sus redes de proveedores. El modelo de seguro de salud de pago a terceros, en el que un puñado de procesadores maneja los datos de decenas de mutuas, es particularmente vulnerable a brechas que constituyen un único punto de fallo.
5.3 El credential stuffing convierte a los portales públicos en objetivos fáciles#
El credential stuffing se ha convertido en el ataque de seguimiento predeterminado después de cada brecha en Francia. En febrero de 2024, el grupo de piratería LulzSec afirmó que hasta 600.000 cuentas de la CAF estaban comprometidas puramente a través de la reutilización de contraseñas, sin ninguna brecha técnica de caf.fr. Una posterior filtración en agosto de 2024 expuso otros 60.369 combos de inicio de sesión de la CAF (NIR + contraseña) en un foro de piratería. Mientras los servicios públicos franceses acepten el inicio de sesión con contraseña, cada nueva brecha en cualquier parte de Europa alimenta los ataques de credential stuffing contra ellos.
5.4 La aplicación de la CNIL se está poniendo al día#
A fecha de enero de 2026, la CNIL ha pasado de las advertencias a la aplicación punitiva. El 13 de enero de 2026, Free Mobile y Free fueron multados conjuntamente con 42 millones de euros (27 millones contra Free Mobile y 15 millones contra Free), y France Travail fue multada con 5 millones de euros el 22 de enero de 2026 en virtud del artículo 32 del RGPD (el límite máximo legal para un organismo público es de 10 millones de euros). Históricamente, las multas medias de la CNIL se mantenían muy por debajo de los límites del RGPD. En combinación con el creciente número de demandas por daños y perjuicios de tipo colectivo en virtud del artículo 82, Francia ha pasado al mismo nivel de aplicación que Alemania, los Países Bajos e Irlanda.
6. Conclusión#
Las diez mayores brechas recientes en Francia cuentan una historia coherente: las credenciales y el acceso de terceros son los denominadores comunes. Las cuentas de los asesores con ingeniería social de France Travail, los profesionales sanitarios que sufrieron phishing de Viamedis, la herramienta interna comprometida de Free, la integración de socios filtrada de Pass'Sport y el proveedor externo de Bouygues Telecom se remontan todos a la misma debilidad subyacente: seres humanos y proveedores que se autentican con contraseñas en sistemas que contienen décadas de datos de los ciudadanos.
Las contramedidas son igualmente coherentes: autenticación resistente al phishing como las claves de acceso, una estricta gobernanza del acceso de terceros, una supervisión continua de la dark web y la preparación para la notificación a la CNIL en 72 horas. Ahora que la CNIL impone multas de ocho y nueve cifras, las organizaciones francesas que traten estas cuestiones como prioridades a nivel de junta directiva en 2026 evitarán tanto las sanciones regulatorias como el daño a su reputación que han definido los últimos tres años de brechas en Francia.
Suscríbete a nuestro Substack de passkeys para recibir las últimas noticias.
Acerca de Corbado
Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →
Preguntas frecuentes#
¿Qué fue la brecha de datos de France Travail en 2024?#
En marzo de 2024, France Travail (antes Pôle Emploi) y Cap Emploi revelaron la mayor brecha de datos de la historia de Francia. Los atacantes utilizaron la ingeniería social para secuestrar las cuentas de los asesores de Cap Emploi y exfiltraron los datos personales de hasta 43 millones de solicitantes de empleo durante los últimos 20 años, incluidos nombres, fechas de nacimiento, números de la seguridad social, ID de France Travail y datos de contacto. El 22 de enero de 2026, la CNIL multó a France Travail con 5 millones de euros en virtud del artículo 32 del RGPD, donde la multa máxima legal para un organismo público es de 10 millones de euros.
¿Cómo se notifica una brecha de datos en Francia?#
En virtud del artículo 33 del RGPD, los responsables del tratamiento franceses deben notificar a la CNIL en un plazo de 72 horas desde que tengan conocimiento de una brecha de datos personales. Si es probable que la brecha entrañe un alto riesgo para las personas afectadas, el artículo 34 exige que se les notifique sin demora indebida. Los operadores de importancia vital (OIV) y los operadores de servicios esenciales (OSE) notifican a la ANSSI según la legislación francesa vigente; la transposición completa de la directiva NIS2 a la legislación francesa seguía en curso en 2026.
¿Cuál es la mayor multa impuesta por la CNIL tras una brecha de datos en Francia?#
El 13 de enero de 2026, la CNIL multó conjuntamente a Free Mobile con 27 millones de euros y a Free con 15 millones de euros (42 millones de euros en total) por la insuficiente seguridad que contribuyó a una brecha en 2024 que expuso 24,6 millones de contratos, incluidos 5,11 millones de IBAN. Esta es una de las mayores sanciones conjuntas del RGPD jamás emitidas en Francia por una brecha de datos. France Travail fue multada con 5 millones de euros el 22 de enero de 2026 en virtud del artículo 32.
¿Por qué Francia se ha convertido en un objetivo tan importante para las brechas de datos?#
Francia combina un sector público altamente digitalizado (France Travail, CAF, DGFiP, OFII), un denso ecosistema de pagos en el sector sanitario (Viamedis, Almerys, Cegedim) y tres grandes operadores de telecomunicaciones que poseen cada uno decenas de millones de registros de abonados. La infrainversión crónica en ciberseguridad en relación con el PIB, la gran dependencia de plataformas de terceros y los ataques de ingeniería social contra los asesores que atienden al público explican por qué más de 145 millones de registros franceses quedaron expuestos entre 2024 y 2025.
¿Cómo alimentan las brechas de datos en Francia los ataques de credential stuffing?#
Las brechas exponen direcciones de correo electrónico, números de la seguridad social y, a menudo, contraseñas que se comercializan en foros de la dark web. Los atacantes reproducen estas credenciales contra bancos, servicios públicos y comercios minoristas, explotando la reutilización de contraseñas. El incidente de la CAF en febrero de 2024 comprometió hasta 600.000 cuentas puramente a través del credential stuffing, sin ninguna brecha técnica de caf.fr, lo que demuestra cómo las brechas en Francia siguen alimentando los ataques mucho después de su divulgación.
Compartir este artículo
Artículos relacionados
![10 Biggest Data Breaches in Germany [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_germany_0da0d788bc63_ed79bd9b36.png&w=3840&q=75)
![10 Biggest Data Breaches in the UK [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_UK_e8d54fe5c3a2_02db7dc27b.png&w=3840&q=75)
![10 Biggest Data Breaches in South Africa [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_south_africa_e60cd568d66d_f10daeaf7c.png&w=3840&q=75)
![10 Biggest Data Breaches in India [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_India_a2a0d945eac3_2dec377a52.png&w=3840&q=75)
![11 Biggest Data Breaches in Canada [2026]](/_next/image?url=https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fcorbado-cloud-staging-website-assets%2FBLOG_OG_v2_blog_data_breaches_canada_825cf0027a73_b911a40314.png&w=3840&q=75)
Tabla de contenidos