---
url: 'https://www.corbado.com/es/blog/brechas-datos-francia'
title: 'Las 10 mayores brechas de datos en Francia [2026]'
description: 'Descubra las 10 mayores brechas de datos en Francia. Desde France Travail hasta Cegedim. Explicación de multas de la CNIL, normas de notificación y prevención.'
lang: 'es'
author: 'Vincent Delitz'
date: '2026-05-27T10:30:37.673Z'
lastModified: '2026-05-27T10:34:03.291Z'
keywords: 'brecha de datos Francia, multas RGPD Francia, ciberataque Francia, notificación brecha de datos Francia, brecha de datos France Travail, mayor brecha de datos Francia 2026, empresas francesas hackeadas'
category: 'Passkeys Strategy'
---
# Las 10 mayores brechas de datos en Francia [2026]
## Key Facts
- La **brecha de France Travail** (marzo de 2024) expuso los datos personales de hasta **43
millones** de solicitantes de empleo, convirtiéndola en la mayor brecha de datos de la historia de Francia. La CNIL
multó a France Travail con **5 millones de euros** en enero de 2026 en virtud del artículo 32 del RGPD, donde
la multa máxima para un organismo público es de 10 millones de euros.
- Entre 2024 y 2025, se expusieron más de **145 millones de registros** pertenecientes a ciudadanos
franceses en servicios públicos, sanidad, telecomunicaciones y comercio minorista, lo que equivale a
múltiples brechas por cada residente francés.
- Tres de las cuatro principales empresas de telecomunicaciones francesas (Free, Bouygues Telecom, SFR) confirmaron brechas
de datos en 2024-2025, con Free y Bouygues Telecom por sí solas exponiendo los IBAN de más de
**11 millones de suscriptores** en conjunto.
- La CNIL impuso multas combinadas récord de **42 millones de euros a Free Mobile (27 M)
y Free (15 M)** el 13 de enero de 2026, lo que indica un paso de las advertencias a la aplicación
punitiva de la ley.
- Los responsables del tratamiento franceses deben notificar las brechas de datos personales a la **CNIL en un plazo de 72 horas**
en virtud del artículo 33 del RGPD. Los operadores de importancia vital (OIV) y de servicios esenciales (OSE)
notifican adicionalmente a la **ANSSI**; la transposición de la directiva NIS2 a la legislación francesa seguía
en curso en 2026.
## 1. Introducción
Francia se ha convertido en una de las jurisdicciones con más brechas de datos de Europa. Entre 2024 y 2025,
se expusieron más de **145 millones de registros** pertenecientes a ciudadanos
franceses en servicios públicos, [sanidad](https://www.corbado.com/passkeys-for-healthcare), [telecomunicaciones](https://www.corbado.com/passkeys-for-telecom) y
[comercio minorista](https://www.corbado.com/passkeys-for-e-commerce), lo que significa que estadísticamente **cada residente francés ha formado
parte de múltiples brechas**. Según la [CNIL](https://www.cnil.fr/en), en 2024 se recibieron más de 5.600
notificaciones de brechas, un nuevo máximo histórico.
Este artículo enumera las 10 brechas de datos más significativas de la historia reciente de Francia, desde
los 43 millones de registros expuestos en el incidente de France Travail hasta la filtración del software de salud de Cegedim Santé, junto con las normas de notificación de la CNIL, las multas y los patrones de prevención que se aplican a
cualquier organización que opere en Francia.
## 2. ¿Por qué Francia es un objetivo atractivo para las brechas de datos?
El [sector público](https://www.corbado.com/passkeys-for-public-sector) altamente digitalizado de Francia, su denso ecosistema
de [pagos](https://www.corbado.com/passkeys-for-payment) en el sector de la [sanidad](https://www.corbado.com/passkeys-for-healthcare) y
tres grandes operadores de [telecomunicaciones](https://www.corbado.com/passkeys-for-telecom) que poseen cada uno decenas de millones de
registros de suscriptores se combinan para producir una superficie de ataque desproporcionada. A esto se suma la
infrainversión crónica en ciberseguridad en relación con los países de su entorno y la ingeniería social
dirigida a los asesores de primera línea, y el resultado es la serie récord de brechas
que Francia experimentó en 2024-2026.
### 2.1 Sector público altamente digitalizado
Francia tiene uno de los sistemas de [gobierno electrónico](https://www.corbado.com/passkeys-for-public-sector) más avanzados de
Europa. FranceConnect, la federación nacional de identidad, enruta el acceso a los impuestos,
la [sanidad](https://www.corbado.com/passkeys-for-healthcare), el empleo y las prestaciones familiares. Por lo tanto, una única
cuenta de asesor comprometida puede exponer registros que abarcan décadas, como se vio con
France Travail, Pass'Sport y la OFII. El [sector público](https://www.corbado.com/passkeys-for-public-sector)
conserva los datos de los ciudadanos desde la cuna hasta la tumba, creando una concentración de registros confidenciales
incomparable en escala.
### 2.2 Denso ecosistema de procesadores externos
Los [seguros](https://www.corbado.com/passkeys-for-insurance) de salud franceses dependen de un pequeño número de plataformas de "terceros
pagadores" (Viamedis, Almerys, Cegedim) que procesan datos para docenas de mutuas.
Por lo tanto, una intrusión se propaga a decenas de millones de asegurados. El mismo patrón
es visible en las [telecomunicaciones](https://www.corbado.com/passkeys-for-telecom) (la brecha de Bouygues
[Telecom](https://www.corbado.com/passkeys-for-telecom) de 2025 a través de un proveedor externo) y en el
[comercio electrónico](https://www.corbado.com/passkeys-for-e-commerce). Incluso las organizaciones con programas maduros de seguridad interna
siguen expuestas a través de sus redes de proveedores.
### 2.3 Infrainversión crónica en ciberseguridad
Análisis independientes como el de
[Edouard.ai](https://edouard.ai/blog/france-data-leaks-2025-bouygues-passsport-impots)
estiman el gasto público de Francia en ciberseguridad en aproximadamente un **0,03 % del PIB** (una estimación,
no una cifra oficial), notablemente inferior al de otros países europeos. Históricamente, las multas medias de la CNIL
se mantuvieron por debajo de las de sus homólogos de la UE, lo que redujo el efecto disuasorio financiero para una seguridad laxa, una
brecha que el regulador está cerrando ahora con sanciones récord contra Free Mobile, France Travail
y otros.
### 2.4 Ingeniería social y deficiencias en la MFA
Varios de los mayores incidentes franceses (France Travail, Viamedis, Free) comenzaron con
ataques de phishing o usurpaciones de cuentas en portales de asesores o empleados que
no exigían una MFA resistente al phishing. En cada caso, los atacantes se dirigieron a **los humanos en
el extremo** en lugar de a la infraestructura central. La
Alianza FIDO clasifica las claves de acceso como resistentes al phishing por
diseño, ya que cada clave de acceso está vinculada al origen legítimo y no se puede reproducir
contra sitios controlados por el atacante. Los servicios públicos y las empresas de telecomunicaciones francesas que aún no han
implementado claves de acceso o autenticación respaldada por hardware siguen expuestos
a la misma clase de ataque.
## 3. Las 10 mayores brechas de datos en Francia
Las diez mayores brechas de datos en Francia desde 2023 expusieron al menos **145 millones de registros**
en conjunto y desencadenaron multas de la CNIL por un total de **47 millones de euros** hasta enero de 2026. Abarcan
servicios públicos (France Travail, Pass'Sport), plataformas sanitarias (Viamedis, Almerys,
Cegedim Santé), telecomunicaciones (Free, Bouygues Telecom) y comercio minorista de
[consumo](https://www.corbado.com/passkeys-for-e-commerce) (ManoMano, Sport 2000). La siguiente tabla resume
el alcance, el año y el resultado normativo; a continuación se presentan descripciones detalladas de los casos y patrones de prevención.
| # | Empresa / Entidad | Año | Registros o alcance | Resultado normativo |
| --- | -------------------------------- | ---- | ------------------------------ | ----------------------------- |
| 1 | France Travail | 2024 | Hasta 43 millones | **Multa de 5 M EUR CNIL (2026)**|
| 2 | ManoMano | 2026 | Hasta 37,8 millones (reclamados)| En revisión |
| 3 | Viamedis y Almerys | 2024 | 33 millones | Investigación de la CNIL en curso|
| 4 | Free / Free Mobile | 2024 | 24,6 millones (5,11 M IBAN) | **Multa de 42 M EUR CNIL (2026)**|
| 5 | Cegedim Santé (MLM) | 2025 | 15 millones | Investigación penal abierta |
| 6 | France Travail (MOVEit) | 2023 | 10 millones | Sin multa separada de la CNIL |
| 7 | Bouygues Telecom | 2025 | 6,4 millones (con IBAN) | Notificación a la CNIL y a la ANSSI|
| 8 | Pass'Sport | 2025 | 6,4 millones de direcciones de correo electrónico| Notificación a la CNIL |
| 9 | Sport 2000 | 2024 | 3,2 millones | Indexado en HIBP, notificación a la CNIL|
| 10 | Fédération Française de Football | 2025 | \~2,4 millones de miembros federados| Notificación a la CNIL |
### 3.1 Brecha de datos de France Travail (2024)
| Detalles | Información |
| ------------------------ | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| Fecha | Marzo de 2024 |
| Número de clientes afectados| Hasta 43 millones |
| Datos filtrados | - Nombres completos
- Fechas y lugares de nacimiento
- Números de la seguridad social (NIR)
- ID de France Travail
- Direcciones de correo electrónico
- Direcciones postales
- Números de teléfono |
En marzo de 2024, France Travail (anteriormente Pôle Emploi) y Cap Emploi revelaron lo que ahora
se considera la mayor brecha de datos de la historia de Francia. Los atacantes
utilizaron **ingeniería social** para secuestrar las cuentas de los asesores de Cap Emploi (la
organización de apoyo a las personas con discapacidad) y accedieron a los datos de todas las personas que
se habían registrado en los últimos 20 años, así como a los candidatos con un perfil en
francetravail.fr. Según la
[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail), hasta 43 millones
de personas pueden haberse visto afectadas.
El 22 de enero de 2026, la
[CNIL](https://www.cnil.fr/en/data-breach-5million-fine-france-travail) multó a France
Travail con **5 millones de euros** en virtud del artículo 32 del RGPD, donde el límite legal máximo para un
organismo público es de 10 millones de euros. El regulador citó la "ignorancia de los principios esenciales
de seguridad" y ordenó medidas correctivas bajo una sanción de 5.000 euros diarios. Esta era
ya la segunda brecha de France Travail: en agosto de 2023, un incidente de terceros vinculado al
grupo de ransomware Cl0p que explotaba una vulnerabilidad de día cero en MOVEit Transfer
ya había expuesto los datos de 10 millones de usuarios.
Métodos de prevención:
- Exigir una MFA resistente al phishing (claves de acceso) para todas las cuentas de asesores y
administradores que accedan a datos masivos de ciudadanos
- Aplicar la detección de anomalías en consultas masivas y normas estrictas de retención de datos en las bases de datos de ciudadanos
### 3.2 Brecha de datos de ManoMano (2026)
| Detalles | Información |
| ------------------------ | ---------------------------------------------------------------------- |
| Fecha | Febrero de 2026 |
| Número de clientes afectados| Hasta 37,8 millones (reclamados) |
| Datos filtrados | - Datos de identidad
- Datos de contacto
- Información administrativa |
En febrero de 2026, el gigante francés del [comercio electrónico](https://www.corbado.com/passkeys-for-e-commerce) de bricolaje ManoMano fue
nombrado por actores de amenazas en una venta de datos referenciada en múltiples rastreadores franceses de
ciberseguridad. El actor afirmó haber comprometido **hasta 37,8 millones de registros de clientes**,
incluidos datos de identidad, datos de contacto e información administrativa. La magnitud de la
afirmación es coherente con la base acumulada de usuarios de la UE de la plataforma en lugar de los clientes franceses activos,
pero el incidente sigue siendo una de las mayores ventas de datos vinculadas a Francia jamás observadas.
La exposición subraya cómo los grandes [mercados](https://www.corbado.com/passkeys-for-e-commerce) de consumidores en
Francia se han vuelto igual de atractivos para los atacantes que los bancos o las empresas de telecomunicaciones, especialmente cuando
los datos se pueden combinar con filtraciones anteriores para crear "gráficos de identidad" para el fraude.
Métodos de prevención:
- Supervisar continuamente los foros clandestinos y los [mercados](https://www.corbado.com/passkeys-for-e-commerce) de brechas
en busca de listas de clientes expuestas y aplicar límites estrictos de velocidad de las API en los puntos finales de los clientes
- Minimizar la retención de perfiles de clientes históricos de baja actividad
### 3.3 Brecha de datos de Viamedis y Almerys (2024)
| Detalles | Información |
| ------------------------ | ------------------------------------------------------------------------------------------------------------------------------------------------------ |
| Fecha | Enero-febrero de 2024 |
| Número de clientes afectados| 33 millones |
| Datos filtrados | - Nombres
- Fechas de nacimiento
- Datos de la aseguradora
- Números de la seguridad social
- Estado civil
- Derechos de pago a terceros |
En enero y febrero de 2024, Viamedis y Almerys, dos procesadores franceses de
[pagos](https://www.corbado.com/passkeys-for-payment) de terceros para [seguros](https://www.corbado.com/passkeys-for-insurance) de salud complementarios,
sufrieron brechas en rápida sucesión. La CNIL
confirmó que, en conjunto, los incidentes afectaron a **33 millones de personas, casi la mitad de
la población de Francia**.
La intrusión en Viamedis se rastreó hasta un **ataque de phishing** dirigido a profesionales
sanitarios, que permitió a los atacantes reutilizar credenciales robadas en el portal del proveedor.
Se sospecha que Almerys se vio afectada a través de un portal similar para profesionales sanitarios.
> "Es la primera vez que se produce una violación de esta magnitud." — Yann Padova,
> exsecretario general de la CNIL (2024)
Métodos de prevención:
- Implementar MFA resistente al phishing (claves de acceso) para cada profesional de la salud que acceda a
datos de miembros asegurados
- Segmentar las plataformas de terceros pagadores de modo que un portal comprometido no pueda exponer toda
la base de datos nacional
### 3.4 Brecha de datos de Free (2024)
| Detalles | Información |
| ------------------------ | --------------------------------------------------------------------------------------------------------------------------------------- |
| Fecha | Octubre de 2024 |
| Número de clientes afectados| 24,6 millones de contratos (19,46 M Free Mobile + 5,17 M Free), incluidos 5,11 M de IBAN |
| Datos filtrados | - Nombres completos
- Direcciones de correo electrónico
- Fechas de nacimiento
- Direcciones postales
- Números de teléfono
- 5,11 millones de IBAN (solo Free) |
En octubre de 2024, Free (el segundo ISP más grande de Francia y una filial del grupo Iliad)
confirmó que unos atacantes habían comprometido una herramienta de gestión interna y exfiltrado datos
sobre **19,46 millones de contratos de Free Mobile y 5,17 millones de Freebox**, incluidos los **IBAN
de los 5,11 millones de clientes de Freebox**. Los datos se subastaron rápidamente en BreachForums por
un actor de amenazas conocido como "drussellx", y la puja final alcanzó los 175.000 euros.
Free hizo hincapié en que las contraseñas, los datos de las tarjetas de [pago](https://www.corbado.com/passkeys-for-payment) y el
contenido de las comunicaciones no se vieron afectados, pero la combinación de IBAN, nombre completo y fecha
de nacimiento es suficiente para el fraude por domiciliación bancaria y el phishing
de alta calidad. El 13 de enero de 2026, la
[CNIL sancionó a Free Mobile con 27 millones de euros y a Free con 15 millones de euros](https://www.cnil.fr/en)
(42 millones de euros en total) por la inadecuada seguridad en torno a los datos de los suscriptores, una de
las mayores sanciones conjuntas del RGPD jamás emitidas en Francia por una
brecha de datos.
Métodos de prevención:
- Proteger las herramientas internas con privilegios con MFA resistente al phishing y acceso justo a tiempo
- Tokenizar los IBAN y los identificadores de pago para que los registros de los suscriptores no se puedan
monetizar directamente
### 3.5 Brecha de datos de Cegedim Santé (MLM) (2025)
| Detalles | Información |
| ------------------------ | -------------------------------------------------------------------------------------------------------- |
| Fecha | Octubre de 2025 |
| Número de clientes afectados| Aproximadamente 15 millones de pacientes |
| Datos filtrados | - Datos administrativos del paciente (apellidos, nombre, sexo, etc.)
- 19 millones de registros a lo largo de 15 años |
En octubre de 2025, unos atacantes vulneraron "MonLogicielMedical.com" (MLM), un software de gestión de consultorios
médicos editado por [Cegedim Santé](https://www.cegedim.com/) y utilizado por
miles de profesionales sanitarios franceses. Según el Ministerio de Salud francés,
el incidente comprometió los **datos administrativos de aproximadamente 15 millones de pacientes franceses**,
abarcando hasta 15 años de historia y 19 millones de líneas de registros digitales.
En su aclaración de febrero de 2026, Cegedim Santé afirmó que los datos en cuestión eran
**exclusivamente administrativos** (información de tipo identidad, como apellidos, nombre y
sexo), y que los registros clínicos estructurados, los comentarios médicos de texto libre y los
diagnósticos confidenciales, como el estado serológico respecto al VIH, **no** estaban involucrados. El 27 de octubre de 2025 se
abrió una investigación penal por "violación de un sistema automatizado de datos".
> "Potencialmente la mayor filtración de la historia de la sanidad francesa." — Gérôme Billois,
> experto en ciberseguridad en Wavestone (octubre de 2025)
Métodos de prevención:
- Imponer una autenticación sólida (claves de acceso) para cada profesional que acceda al
software médico en la nube
- Aplicar una estricta minimización de datos y separación entre los datos de identidad administrativa y
los registros clínicos en las plataformas médicas SaaS
### 3.6 Brecha en MOVEit de France Travail (2023)
| Detalles | Información |
| ------------------------ | ---------------------------------------------------------------- |
| Fecha | Agosto de 2023 |
| Número de clientes afectados| Aproximadamente 10 millones |
| Datos filtrados | - Nombres completos
- Números de la seguridad social
- Datos de contacto |
Antes del incidente que acaparó los titulares en 2024, France Travail ya había sido víctima de una
brecha de terceros vinculada al grupo de ransomware Cl0p que aprovechaba
una vulnerabilidad de día cero en el software Progress MOVEit Transfer.
El ataque expuso la información personal de aproximadamente **10 millones de solicitantes de
empleo**, incluidos nombres, NIR y datos de contacto. Formó parte de la oleada global de la
cadena de suministro de MOVEit que afectó a cientos de organizaciones en todo el mundo y presagió la
brecha aún mayor de 2024 de la misma agencia.
Métodos de prevención:
- Mantener un inventario actualizado del software de transferencia de archivos de terceros expuesto a
Internet y aplicar parches virtuales para las ventanas de día cero
- Segmentar los canales de transferencia de archivos de las bases de datos principales de recursos humanos y ciudadanos
### 3.7 Brecha de datos de Bouygues Telecom (2025)
| Detalles | Información |
| ------------------------ | ------------------------------------------------------------------------------------------------------------ |
| Fecha | Agosto de 2025 |
| Número de clientes afectados| 6,4 millones |
| Datos filtrados | - Nombres completos
- Direcciones postales
- Números de teléfono
- Fechas de nacimiento
- Datos del contrato
- IBAN |
El 4 de agosto de 2025, Bouygues Telecom, uno de los principales operadores de telefonía móvil de Francia con unos 14,5
millones de suscriptores móviles y una base de clientes total de aproximadamente 23 millones, detectó un
ciberataque contra un sistema de gestión de clientes. Dos días después, la empresa confirmó
que los atacantes habían accedido a datos personales y contractuales de **6,4 millones de clientes**,
incluidos los IBAN. Las contraseñas y los números de tarjetas de pago no se vieron comprometidos.
La brecha, que se cree que se originó en un proveedor externo, se notificó a la
CNIL y a la ANSSI. En virtud del
[artículo 323-1 del Código Penal francés](https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000030939438/),
el atacante se enfrenta a hasta tres años de prisión por el acceso no autorizado a un
sistema automatizado de procesamiento de datos, cifra que se eleva a cinco años cuando se alteran los datos o se
deteriora el sistema. La propia Bouygues Telecom se enfrenta al escrutinio del RGPD por parte de la CNIL por su gestión de riesgos
de terceros. El incidente forma parte de un patrón más amplio que también afectó a SFR (septiembre
de 2025, datos [bancarios](https://www.corbado.com/passkeys-for-banking)) y a Free en 2024-2025.
Métodos de prevención:
- Tratar a los proveedores externos como parte de la superficie de ataque principal y requerir
una MFA resistente al phishing en todos los sistemas conectados
- Tokenizar los IBAN y otros identificadores de pago para limitar el valor del robo masivo de datos
### 3.8 Brecha de datos de Pass'Sport (diciembre de 2025)
| Detalles | Información |
| ------------------------ | ------------------------------------------------------------------------------------------ |
| Fecha | Diciembre de 2025 |
| Número de clientes afectados| 3,5 millones de hogares (6,4 millones de direcciones de correo electrónico únicas) |
| Datos filtrados | - Identidades del beneficiario y de los padres
- Datos de contacto
- Información administrativa |
Pass'Sport es un programa del [gobierno](https://www.corbado.com/passkeys-for-public-sector) francés gestionado por el
Ministerio de Deportes que proporciona una **subvención de 70 euros** (anteriormente 50 euros) a los jóvenes
que cumplan los requisitos para afiliarse a clubes deportivos. La noche del 17 al 18 de diciembre de 2025, apareció
en línea un archivo de 15 GB que contenía más de 22 millones de líneas de datos. Los informes de los medios
iniciales atribuyeron erróneamente la filtración a la Caisse d'Allocations Familiales (CAF), que negó públicamente
cualquier intrusión en caf.fr. Posteriormente, el Ministerio de Deportes confirmó que los datos
procedían del **sistema de información Pass'Sport**, que cubría aproximadamente a **3,5 millones de
hogares y 6,4 millones de direcciones de correo electrónico únicas** de beneficiarios y de sus padres o
tutores.
Los registros expuestos abarcaban el período comprendido entre septiembre de 2024 y noviembre de 2025 e incluían
identidades completas, direcciones postales, números de teléfono y direcciones de correo electrónico, pero ningún
dato [bancario](https://www.corbado.com/passkeys-for-banking) ni contraseñas. El conjunto de datos es particularmente valioso
para el phishing dirigido contra familias con menores de edad, y una gran
parte se ha indexado desde entonces en [Have I Been Pwned](https://haveibeenpwned.com/).
Métodos de prevención:
- Aplicar la protección más estricta posible a los sistemas que procesan datos de menores, incluida
la MFA obligatoria resistente al phishing para los administradores
- Minimizar la duración durante la cual se conservan los datos de los beneficiarios tras la finalización del programa
### 3.9 Brecha de datos de Sport 2000 (2024)
| Detalles | Información |
| ------------------------ | ----------------------------------------------------------------------------------------------------------------------------------- |
| Fecha | Abril de 2024 |
| Número de clientes afectados| 3,2 millones de direcciones de correo electrónico únicas (4,4 millones de registros) |
| Datos filtrados | - Nombres completos
- Direcciones de correo electrónico
- Números de teléfono
- Direcciones postales
- Fechas de nacimiento
- Historial de compras por tienda |
En abril de 2024, el minorista francés de artículos deportivos **Sport 2000** sufrió una brecha de datos que
más tarde fue [indexada por Have I Been Pwned](https://haveibeenpwned.com/Breach/Sport2000). Un
actor de amenazas que operaba bajo el alias "ChatNoir7331" publicó a la venta en un foro de piratería una base de datos de **4,4 millones de
filas con 3,2 millones de direcciones de correo electrónico únicas**, y el
conjunto de datos se volvió a publicar de forma gratuita posteriormente en junio de 2024. La filtración incluía nombres, direcciones de correo electrónico y
postales, números de teléfono, fechas de nacimiento e historial detallado de compras vinculado a
ubicaciones de tiendas concretas.
La combinación de datos de contacto e historial de compras por tienda hace que la filtración de Sport 2000 sea
particularmente útil para el phishing altamente dirigido ("su reciente compra en Sport 2000
Lyon...") e ilustra cómo los minoristas franceses medianos pueden producir brechas a escala de consumidor
cuando las bases de datos de marketing están mal segmentadas.
Métodos de prevención:
- Segmentar las bases de datos transaccionales y de marketing, y rotar los tokens de acceso utilizados por
las herramientas de marketing de terceros
- Minimizar la retención de datos históricos de compras vinculados a clientes identificables
### 3.10 Brecha de datos de la Fédération Française de Football (2025)
| Detalles | Información |
| ------------------------ | ------------------------------------------------------------------------------------ |
| Fecha | 2025 |
| Número de clientes afectados| Aproximadamente 2,4 millones de miembros federados |
| Datos filtrados | - Identidades de los miembros
- Fechas de nacimiento
- Datos de contacto
- Números de licencia |
En 2025, la [Fédération Française de Football (FFF)](https://www.fff.fr/) reveló una
brecha que expuso los datos personales de sus miembros federados. La FFF publica aproximadamente
**2,38 millones de miembros federados** para la temporada 2023-2024. Según la propia
notificación de "vol de données" de la FFF, el incidente abarcó datos de identidad y de contacto (nombres, fechas de
nacimiento, números de licencia y algunos documentos de identidad) y **excluyó explícitamente los datos
de salud**. El incidente de la FFF formó parte de una oleada que también afectó a la Fédération Française de Voile,
la Fédération Française de Gymnastique, la Fédération Française de Tir y otras, lo que confirma
que las federaciones deportivas francesas son un objetivo atractivo debido a sus grandes
conjuntos de datos almacenados históricamente y a sus presupuestos de seguridad de TI comparativamente débiles.
Métodos de prevención:
- Priorizar la inversión en ciberseguridad en federaciones y organizaciones sin fines de lucro que mantienen décadas de
datos de los miembros
- Eliminar los registros históricos que ya no son necesarios para operar las licencias
## 4. Cómo notificar una brecha de datos en Francia
Los responsables del tratamiento franceses deben notificar a la
[CNIL](https://www.cnil.fr/en) una brecha de datos personales en el plazo de **72 horas** a partir del momento en que tengan conocimiento de ella, en virtud del artículo 33 del RGPD. Si es probable que la brecha suponga un alto riesgo para las personas afectadas, el artículo 34 del RGPD
exige que se les notifique sin demora indebida. Los operadores de importancia vital
(OIV) y los operadores de servicios esenciales (OSE) notifican adicionalmente a la
[ANSSI](https://www.ssi.gouv.fr/en/); la transposición completa de la
directiva NIS2 a la legislación francesa seguía en curso
en 2026.
### 4.1 Regla de las 72 horas del RGPD (Artículo 33)
Según el [artículo 33 del RGPD](https://gdpr-info.eu/art-33-gdpr/), un responsable del tratamiento debe notificar a la
CNIL una brecha de datos personales **a más tardar 72 horas** después de tener conocimiento de ella. Si
la notificación se retrasa, el responsable del tratamiento debe justificar los motivos del retraso. La
notificación debe describir la naturaleza de la brecha, las categorías y el número aproximado de
personas afectadas, las posibles consecuencias y las medidas adoptadas o propuestas.
### 4.2 Autoridad competente: la CNIL
A diferencia de las 16 APD estatales de Alemania, Francia cuenta con una única autoridad de control nacional:
la **Commission Nationale de l'Informatique et des Libertés (CNIL)**. La CNIL hace cumplir el
RGPD tanto para los responsables del sector público como del privado y tiene el poder de imponer
multas administrativas de hasta 20 millones de euros o el 4 % del volumen de negocios anual global, la cifra que sea mayor. Las recientes sanciones conjuntas contra Free Mobile y Free (42 millones de euros, de
los cuales 27 millones contra Free Mobile) y France Travail (5 millones de euros) demuestran que la
CNIL ha pasado de las advertencias a la aplicación de medidas punitivas.
### 4.3 Notificación a la ANSSI para OIV, OSE y NIS2
Los operadores de importancia vital (**OIV**) y los operadores de servicios esenciales (**OSE**) deben
notificar además los incidentes cibernéticos importantes a la
[ANSSI](https://www.ssi.gouv.fr/en/), la agencia nacional francesa de ciberseguridad. La
directiva NIS2 amplía la notificación obligatoria a más
sectores, incluidos los proveedores de servicios digitales, la fabricación y la gestión de residuos. Su
transposición a la legislación francesa aún estaba en curso en 2026, y la ANSSI ha declarado que
se comunicará durante todo el proceso; la Comisión Europea también emitió un dictamen motivado
por la transposición incompleta. Una vez que entre en vigor, los informes seguirán un calendario por fases: una
**alerta temprana en 24 horas, una notificación completa en 72 horas** y un informe final
en el plazo de un mes.
### 4.4 Notificación individual (Artículo 34)
Cuando es probable que una brecha entrañe un alto riesgo para los derechos y libertades de las
personas, el [artículo 34 del RGPD](https://gdpr-info.eu/art-34-gdpr/) exige la notificación
directa a las personas afectadas en un lenguaje claro y sencillo. Los casos de France Travail,
Viamedis, Free y Cegedim Santé desencadenaron todos obligaciones en virtud del artículo 34. La falta de
notificación es un factor desencadenante frecuente de sanciones reglamentarias adicionales además de la brecha
subyacente.
## 5. Tendencias de las brechas de datos en Francia
Cuatro patrones se repiten a lo largo de los diez casos: la concentración de datos de los ciudadanos en un
[sector público](https://www.corbado.com/passkeys-for-public-sector) altamente digitalizado, la vulneración de terceros y de la cadena de suministro
como punto de entrada dominante,
el credential stuffing que convierte a los portales públicos franceses en
objetivos fáciles y una CNIL que se está poniendo al día rápidamente en la aplicación de la ley. Comprender estos
patrones es más útil que memorizar incidentes individuales.
### 5.1 La digitalización del sector público crea una superficie de ataque a nivel nacional
France Travail, OFII, FICOBA y Pass'Sport muestran la cantidad de datos de ciudadanos que se concentran en
unas pocas plataformas públicas. Una cuenta de asesor comprometida en Cap Emploi fue suficiente para exponer
43 millones de registros; una integración de socio de Pass'Sport filtrada fue suficiente para exponer a 3,5
millones de hogares. La dependencia de Francia de **FranceConnect** y de los inicios de sesión compartidos en los servicios públicos amplifica este riesgo: una sola
contraseña comprometida vinculada a un NIR puede desbloquear
múltiples servicios públicos a la vez.
### 5.2 Los proveedores externos son un eslabón débil crítico
Viamedis, Almerys, Cegedim Santé, Bouygues Telecom y el incidente de MOVEit de France Travail en 2023
comparten la misma causa fundamental: la vulneración en un tercero, no en la marca principal.
Incluso las organizaciones con programas maduros de seguridad interna siguen estando expuestas a través de sus
redes de proveedores. El modelo de [seguro](https://www.corbado.com/passkeys-for-insurance) de salud de pago a terceros, en el que
un puñado de procesadores maneja los datos de decenas de mutuas, es particularmente vulnerable a
brechas que constituyen un único punto de fallo.
### 5.3 El credential stuffing convierte a los portales públicos en objetivos fáciles
El credential stuffing se ha convertido en el ataque
de seguimiento predeterminado después de cada brecha en Francia. En febrero de 2024, el grupo de piratería LulzSec afirmó que **hasta 600.000 cuentas de la CAF** estaban comprometidas puramente a través de la reutilización de contraseñas, sin ninguna brecha técnica
de caf.fr. Una posterior filtración en agosto de 2024 expuso otros 60.369 combos de inicio de sesión de la CAF
(NIR + contraseña) en un foro de piratería. Mientras los servicios públicos franceses acepten el inicio de sesión
con contraseña, cada nueva brecha en cualquier parte de Europa alimenta
los ataques de credential stuffing contra ellos.
### 5.4 La aplicación de la CNIL se está poniendo al día
A fecha de enero de 2026, la CNIL ha pasado de las advertencias a la aplicación punitiva. El 13 de
enero de 2026, Free Mobile y Free fueron multados conjuntamente con **42 millones de euros** (27 millones
contra Free Mobile y 15 millones contra Free), y France Travail fue multada con **5 millones de
euros** el 22 de enero de 2026 en virtud del artículo 32 del RGPD (el límite máximo legal para un organismo público
es de 10 millones de euros). Históricamente, las multas medias de la CNIL se mantenían muy por debajo de los límites del RGPD.
En combinación con el creciente número de demandas por daños y perjuicios de tipo colectivo en virtud del artículo 82,
Francia ha pasado al mismo nivel de aplicación que Alemania, los Países Bajos e Irlanda.
## 6. Conclusión
Las diez mayores brechas recientes en Francia cuentan una historia coherente: las credenciales y el acceso de
terceros son los denominadores comunes. Las cuentas de los asesores con ingeniería social de France Travail,
los profesionales sanitarios que sufrieron phishing de Viamedis, la herramienta interna comprometida de Free, la integración de socios
filtrada de Pass'Sport y el proveedor externo de Bouygues [Telecom](https://www.corbado.com/passkeys-for-telecom) se remontan todos a la misma debilidad subyacente: seres humanos y proveedores que se autentican
con contraseñas en sistemas que contienen décadas de datos de los ciudadanos.
Las contramedidas son igualmente coherentes: autenticación resistente al phishing como
las claves de acceso, una estricta gobernanza del acceso de terceros, una supervisión continua de la dark web
y la preparación para la notificación a la CNIL en 72 horas. Ahora que la CNIL impone multas de ocho y
nueve cifras, las organizaciones francesas que traten estas cuestiones como prioridades a nivel de junta directiva en 2026
evitarán tanto las sanciones regulatorias como el daño a su reputación que han definido los últimos
tres años de brechas en Francia.
## Preguntas frecuentes
### ¿Qué fue la brecha de datos de France Travail en 2024?
En marzo de 2024, France Travail (antes Pôle Emploi) y Cap Emploi revelaron la mayor
brecha de datos de la historia de Francia. Los atacantes utilizaron la ingeniería social para secuestrar las
cuentas de los asesores de Cap Emploi y exfiltraron los datos personales de hasta 43 millones de solicitantes de empleo durante
los últimos 20 años, incluidos nombres, fechas de nacimiento, números de la seguridad social, ID de France Travail
y datos de contacto. El 22 de enero de 2026, la CNIL multó a France Travail con 5 millones de euros
en virtud del artículo 32 del RGPD, donde la multa máxima legal para un organismo público es de 10 millones de euros.
### ¿Cómo se notifica una brecha de datos en Francia?
En virtud del artículo 33 del RGPD, los responsables del tratamiento franceses deben notificar a la CNIL en un plazo de 72 horas desde que
tengan conocimiento de una brecha de datos personales. Si es probable que la brecha entrañe un alto riesgo para las
personas afectadas, el artículo 34 exige que se les notifique sin demora indebida. Los operadores de
importancia vital (OIV) y los operadores de servicios esenciales (OSE) notifican a la ANSSI según la
legislación francesa vigente; la transposición completa de la directiva NIS2 a la legislación francesa
seguía en curso en 2026.
### ¿Cuál es la mayor multa impuesta por la CNIL tras una brecha de datos en Francia?
El 13 de enero de 2026, la CNIL multó conjuntamente a Free Mobile con 27 millones de euros y a Free con 15
millones de euros (42 millones de euros en total) por la insuficiente seguridad que contribuyó a
una brecha en 2024 que expuso 24,6 millones de contratos, incluidos 5,11 millones de IBAN. Esta es una de
las mayores sanciones conjuntas del RGPD jamás emitidas en Francia por una brecha de datos. France
Travail fue multada con 5 millones de euros el 22 de enero de 2026 en virtud del artículo 32.
### ¿Por qué Francia se ha convertido en un objetivo tan importante para las brechas de datos?
Francia combina un sector público altamente digitalizado (France Travail, CAF, DGFiP, OFII), un
denso ecosistema de pagos en el sector sanitario (Viamedis, Almerys, Cegedim) y tres grandes
operadores de telecomunicaciones que poseen cada uno decenas de millones de registros de abonados. La infrainversión crónica
en ciberseguridad en relación con el PIB, la gran dependencia de plataformas de terceros y los ataques de
ingeniería social contra los asesores que atienden al público explican por qué más de 145 millones
de registros franceses quedaron expuestos entre 2024 y 2025.
### ¿Cómo alimentan las brechas de datos en Francia los ataques de credential stuffing?
Las brechas exponen direcciones de correo electrónico, números de la seguridad social y, a menudo, contraseñas que
se comercializan en foros de la dark web. Los atacantes reproducen estas credenciales contra bancos, servicios
públicos y comercios minoristas, explotando la reutilización de contraseñas. El incidente de la CAF en febrero de 2024
comprometió hasta 600.000 cuentas puramente a través del credential stuffing, sin ninguna
brecha técnica de caf.fr, lo que demuestra cómo las brechas en Francia siguen alimentando los ataques mucho
después de su divulgación.