Las 11 mayores brechas de datos en Canadá [2026]

1. Introducción: ¿Por qué las brechas de datos son un riesgo para las organizaciones canadienses?#

Las brechas de datos van en aumento en Canadá, lo que afecta a múltiples sectores y genera una creciente preocupación tanto entre los ciudadanos como entre las organizaciones. Los canadienses están cada vez más preocupados por la seguridad de los datos: el 85 % expresa preocupación y el 66 % informa una mayor ansiedad en comparación con hace tres años. Esta preocupación se amplifica por las brechas de alto perfil y las amenazas emergentes, como los ciberataques patrocinados por estados y el ransomware.

En 2024, el costo promedio de una brecha de datos en Canadá fue de 4,66 millones de dólares estadounidenses, una cifra ligeramente inferior al promedio mundial de 4,88 millones de dólares estadounidenses. En este artículo, analizaremos más de cerca las mayores brechas de datos en Canadá y examinaremos cómo y por qué ocurrieron.

2. ¿Por qué Canadá es un objetivo atractivo para las brechas de datos?#

Canadá es un objetivo atractivo para las brechas de datos, impulsado por una combinación de factores que aumentan la vulnerabilidad de sus sectores críticos, organizaciones y ciudadanos ante la actividad cibercriminal:

1. Datos de alto valor en todas las industrias: Los sectores de salud, servicios financieros, comercio minorista y energía de Canadá gestionan grandes volúmenes de información confidencial, como registros médicos personales, transacciones financieras y datos de pago. Al igual que las organizaciones deben proteger estratégicamente sus activos críticos, garantizar un liderazgo sólido mediante la contratación de directores ejecutivos especializada puede reforzar la gobernanza y la preparación para las crisis. Este tipo de información es extremadamente valiosa en el mercado negro, lo que posiciona a estas industrias como objetivos principales para los ciberdelincuentes. Los datos son tan valiosos porque pueden usarse para robo de identidad, fraude de seguros o para acceder a cuentas bancarias y vaciarlas.

2. Importancia geopolítica: El papel de Canadá en alianzas globales como el G7 y la asociación de inteligencia de los Cinco Ojos (Five Eyes) lo coloca en el punto de mira de las actividades cibernéticas patrocinadas por estados. Diferentes países participan en campañas avanzadas de ciberespionaje dirigidas a los sistemas gubernamentales canadienses, con el objetivo de recopilar inteligencia y exfiltrar propiedad intelectual. Además, Canadá está expuesto a amenazas cibernéticas de estados hostiles impulsadas por sus afiliaciones políticas.

3. Las mayores brechas de datos en Canadá#

A continuación, encontrará una lista de las mayores brechas de datos en Canadá. Las brechas de datos están ordenadas por la cantidad de cuentas de clientes afectadas en orden descendente.

3.1 Brecha de datos de LifeLabs (2019)#

En octubre de 2019, LifeLabs fue víctima de un importante ataque de ransomware que comprometió los datos de salud personales de casi 15 millones de personas, lo que la convierte en la mayor brecha reportada en la historia de Canadá por volumen. Los atacantes obtuvieron acceso no autorizado a los sistemas de LifeLabs y exfiltraron información confidencial antes de exigir un rescate. La empresa confirmó que pagó el rescate en un esfuerzo por asegurar los datos robados, aunque no pudo verificar si los atacantes habían hecho copias. La brecha provocó la preocupación pública no solo por la sensibilidad de los datos involucrados, sino también porque LifeLabs retrasó la notificación al público hasta diciembre.

Las investigaciones sugirieron que la brecha pudo haber sido el resultado de software desactualizado, falta de cifrado de extremo a extremo y una mala supervisión de las vulnerabilidades del sistema. El incidente expuso debilidades significativas en la postura de ciberseguridad de LifeLabs, especialmente considerando la naturaleza crítica de los datos de salud.

Métodos de prevención:

• Implementar un cifrado fuerte y modernizar los sistemas obsoletos
• Utilizar herramientas avanzadas de detección de intrusiones y monitoreo en tiempo real
• Mantener copias de seguridad seguras y fuera de línea para evitar pagar rescates

3.2 Brecha de datos de Desjardins (2019)#

Desjardins Group, una de las cooperativas financieras más grandes de Canadá, sufrió una brecha de datos masiva causada por una amenaza interna que expuso los detalles personales y financieros de casi 9,7 millones de personas. La brecha se descubrió después de que una investigación interna revelara que un exempleado había estado recopilando y filtrando datos durante un período de al menos 26 meses. La información se estaba transfiriendo fuera de la organización y los sistemas de monitoreo de Desjardins no la detectaron hasta que el Comisionado de Privacidad federal intervino.

La naturaleza de esta brecha, arraigada en el abuso de acceso interno legítimo, puso de relieve debilidades sistémicas en los controles internos de Desjardins, particularmente en torno al monitoreo de la actividad de los usuarios, los derechos de acceso y las alertas de exfiltración de datos. Sigue siendo uno de los ejemplos más significativos de una amenaza interna en la historia corporativa canadiense, especialmente debido a la duración de la brecha y la sensibilidad de los datos comprometidos.

Métodos de prevención:

• Hacer cumplir controles de acceso estrictos y políticas de menor privilegio
• Monitorear y auditar el acceso a los datos de los empleados regularmente
• Utilizar análisis de comportamiento para detectar actividades inusuales

3.3 Brecha de datos de Yves Rocher (2019)#

En 2019, la marca de cosméticos francesa Yves Rocher experimentó una importante brecha de datos que involucró a su base de clientes canadienses cuando los investigadores descubrieron una base de datos Elasticsearch sin protección alojada por un proveedor de servicios externo. El sistema expuesto contenía registros sobre aproximadamente 2,5 millones de personas, incluidos tanto detalles personales como datos corporativos internos. Aún más alarmante fue que la configuración de la base de datos permitía el acceso de lectura y escritura, lo que significaba que partes no autorizadas podrían haber agregado, alterado o eliminado información a voluntad.

La brecha se rastreó hasta permisos de acceso inadecuados y falta de autenticación en una plataforma alojada en la nube utilizada para administrar los datos de clientes y operativos. Demostró cómo los errores de seguridad de la cadena de suministro y de proveedores externos pueden comprometer directamente incluso a marcas bien establecidas. Los datos expuestos incluyeron no solo información de identificación personal (PII) de los clientes, sino también conocimientos comerciales confidenciales, como métricas de rendimiento de la tienda y datos de composición de productos.

Métodos de prevención:

• Hacer cumplir estrictos protocolos de seguridad para proveedores externos
• Asegurar los servicios en la nube con la autenticación y los controles de acceso adecuados
• Auditar regularmente las bases de datos expuestas en busca de configuraciones incorrectas

3.4 Brecha de datos de Nissan Canada Finance (2017)#

En diciembre de 2017, Nissan Canada Finance (NCF) informó de una brecha de datos que expuso la información personal de más de un millón de clientes actuales y anteriores que habían arrendado o financiado vehículos a través de la empresa. La brecha implicó el acceso no autorizado a los sistemas que contenían datos confidenciales de los clientes, incluida información financiera y específica del vehículo. La empresa reconoció la brecha después de detectar actividad inusual y lanzó una investigación a gran escala con las fuerzas del orden y las autoridades de privacidad.

Aunque NCF no reveló públicamente los detalles técnicos del ataque, el tipo de datos accedidos sugiere que la brecha probablemente resultó de un compromiso de los sistemas de backend, posiblemente a través de robo de credenciales, segmentación deficiente de la red o protocolos de cifrado insuficientes. Para mitigar el daño, NCF ofreció a los clientes afectados 12 meses de monitoreo de crédito gratuito y protección contra el robo de identidad.

Métodos de prevención:

• Fortalecer la autenticación del sistema de backend (por ejemplo, con MFA resistente al phishing) y la segmentación
• Cifrar todos los datos de los clientes, especialmente la información financiera
• Monitorear los sistemas continuamente en busca de intentos de acceso no autorizados

3.5 Brecha de datos de TIO Networks (2017)#

TIO Networks, un procesador canadiense de pagos de facturas propiedad de PayPal, sufrió una brecha de datos a fines de 2017 luego de descubrirse que sus sistemas tenían vulnerabilidades que permitían el acceso no autorizado a los registros de los clientes. Después de detectar actividad inusual, PayPal suspendió las operaciones de TIO y lanzó una investigación formal, revelando que los piratas informáticos se habían infiltrado en múltiples áreas de la red donde se almacenaban datos confidenciales. La información comprometida incluía información de identificación personal y detalles de cuentas financieras de aproximadamente 1,6 millones de usuarios.

La brecha apuntó a debilidades estructurales dentro de la infraestructura de TIO, incluidos protocolos de seguridad obsoletos y una segmentación de red inadecuada. Debido a que los sistemas de TIO eran distintos de la arquitectura central de PayPal, la brecha no afectó directamente a los usuarios de PayPal, pero planteó preocupaciones significativas sobre la debida diligencia de ciberseguridad relacionada con las adquisiciones.

Métodos de prevención:

• Realizar auditorías de seguridad exhaustivas durante fusiones y adquisiciones
• Aislar y proteger los sistemas heredados de las redes centrales
• Implementar control de acceso de múltiples capas y cifrado para los datos financieros

3.6 Brecha de datos de Bell Canada (2017 y 2018)#

Bell Canada experimentó dos brechas de datos separadas en un lapso de ocho meses, comenzando en mayo de 2017 cuando los atacantes accedieron y filtraron aproximadamente 1,9 millones de direcciones de correo electrónico y 1.700 nombres de clientes con números de teléfono. Una segunda brecha en enero de 2018 comprometió datos de clientes adicionales, afectando hasta 100.000 personas. En ambos incidentes, Bell afirmó que no se había accedido a datos financieros o de contraseñas, aunque los detalles sugirieron un fallo para evitar la entrada no autorizada a los sistemas internos.

Los atacantes en al menos una de las brechas filtraron públicamente los datos y afirmaron que el motivo era presionar a Bell para que cooperara con ellos, lo que implica algún tipo de intento de extorsión. Bell fue criticada por la demora en la divulgación en ambos casos, ya que la brecha inicial no se informó de inmediato a los clientes. Estos eventos resaltaron serios problemas en la gobernanza de datos de Bell, las capacidades de detección de brechas y las prácticas de comunicación con el cliente.

Métodos de prevención:

• Aplicar monitoreo en tiempo real y protocolos de respuesta a incidentes
• Limitar los puntos de acceso externo y fortalecer las defensas perimetrales
• Implementar procedimientos de notificación de brechas a los clientes con plazos claros

3.7 Brecha de datos de la Agencia de Ingresos de Canadá (2020)#

En agosto de 2020, la Agencia de Ingresos de Canadá (CRA) fue víctima de dos ataques cibernéticos separados que en conjunto llevaron a que se comprometieran más de 11.000 cuentas en línea individuales. Los ataques aprovecharon una técnica de relleno de credenciales, donde los piratas informáticos utilizaron nombres de usuario y contraseñas robados previamente de brechas no relacionadas para obtener acceso a las cuentas de la CRA. Una vez dentro, los atacantes pudieron ver información confidencial de los contribuyentes, cambiar los detalles del depósito directo y, en algunos casos, solicitar beneficios gubernamentales relacionados con la pandemia.

La brecha expuso fallos significativos tanto en las prácticas de los usuarios (como la reutilización de contraseñas) como en los controles de seguridad a nivel del sistema en la CRA. La ausencia de autenticación multifactor generalizada y la detección en tiempo real de actividades sospechosas permitieron a los atacantes explotar un vector común a gran escala, a pesar de ser un método de ataque muy conocido.

Métodos de prevención:

• Exigir la autenticación multifactor obligatoria (por ejemplo, con claves de acceso o passkeys) para los servicios en línea
• Implementar limitación de velocidad y detección de anomalías para los intentos de inicio de sesión
• Implementar tecnología de autenticación resistente al phishing, como las claves de acceso

3.8 Brecha de datos de Rogers Communications (2015/2018/2020)#

Durante un período de cinco años, Rogers Communications experimentó múltiples brechas de datos que involucraron tanto cuentas de empleados internos como registros de clientes externos. El incidente más publicitado ocurrió en 2015 cuando un grupo de piratas informáticos llamado TeamHans publicó datos internos y registros de correo electrónico de Rogers después de que fracasara un intento de extorsión. Brechas posteriores en 2018 y 2020 supuestamente implicaron acceso no autorizado a cuentas de clientes, pero los detalles públicos siguieron siendo limitados. En al menos un caso, los datos filtrados parecían provenir de una cuenta de empleado comprometida que tenía acceso a múltiples registros de clientes comerciales.

Estas brechas recurrentes reflejan tanto amenazas externas como fallos de control interno, particularmente en torno a la seguridad del correo electrónico, los permisos de acceso y la detección oportuna de anomalías. Si bien el número de personas afectadas fue relativamente moderado en comparación con incidentes de mayor escala, la frecuencia y visibilidad de los ataques generaron serias preocupaciones sobre la postura general de ciberseguridad de Rogers.

Métodos de prevención:

• Implementar herramientas de monitoreo de correo electrónico y detección de anomalías
• Hacer cumplir las restricciones de acceso privilegiado para las cuentas internas
• Capacitar a los empleados para reconocer y reportar intentos de ingeniería social

3.9 Brecha de datos de Home Depot Canada (2020)#

En noviembre de 2020, Home Depot Canada experimentó un incidente de datos derivado de un error interno del sistema en lugar de un ciberataque. El problema provocó que los clientes recibieran docenas, en algunos casos cientos, de correos electrónicos erróneos que contenían confirmaciones de pedidos destinadas a otras personas. Estos correos electrónicos incluían información de pago parcial y detalles de contacto personales. Aunque Home Depot declaró que solo un pequeño número de clientes se vio afectado, la naturaleza de la exposición creó un vector potencial para phishing o fraude.

Esta brecha fue un claro ejemplo de cómo los fallos operativos en los sistemas automatizados aún pueden dar como resultado graves problemas de privacidad. También ilustró los riesgos de no validar adecuadamente las comunicaciones salientes o de no segregar los datos de los usuarios dentro de los sistemas que generan mensajes dirigidos a los clientes.

Métodos de prevención:

• Implementar salvaguardas para las comunicaciones salientes con los clientes
• Realizar pruebas de rutina de los sistemas de pedidos y correo electrónico
• Utilizar controles de acceso más estrictos en las herramientas de automatización orientadas al cliente

3.10 Brecha de datos de TransUnion Canada (2019)#

En 2019, TransUnion Canada reveló que un tercero había accedido a los datos personales de unos 37.000 canadienses a través de las credenciales de inicio de sesión comprometidas de uno de los clientes comerciales de TransUnion. Los atacantes no irrumpieron directamente en los sistemas de TransUnion, sino que aprovecharon la cuenta de un usuario legítimo para acceder a información crediticia altamente confidencial. La brecha persistió durante aproximadamente dos meses antes de ser detectada.

Este incidente destacó el riesgo significativo que los socios comerciales y clientes pueden representar para la seguridad de los datos, especialmente cuando se les otorga un amplio acceso a los datos de los consumidores. También subrayó la importancia de verificar que los clientes corporativos se adhieran a los estándares de seguridad que coinciden con la sensibilidad de los datos a los que se les permite acceder.

Métodos de prevención:

• Hacer cumplir estrictas políticas de acceso y monitoreo de terceros
• Aplicar la autenticación multifactor para todas las cuentas de socios
• Utilizar análisis de comportamiento para señalar patrones de acceso inusuales

3.11 Brecha de datos de Nova Scotia Power (2025)#

En marzo de 2025, Nova Scotia Power experimentó un ataque de ransomware que expuso la información personal y financiera confidencial de casi 280.000 clientes, lo que representa casi la mitad de su base de clientes. La brecha pasó desapercibida durante más de un mes antes de ser identificada a fines de abril, momento en el que los datos robados ya se habían publicado en línea. A diferencia de otros casos, la empresa de servicios públicos se negó a pagar el rescate, citando restricciones legales y la orientación de las agencias de aplicación de la ley.

El ataque ha atraído un fuerte escrutinio debido a la escala y la sensibilidad de los datos recopilados, particularmente la inclusión de Números de Seguro Social (SIN) y detalles bancarios para pagos preautorizados. Los expertos cuestionaron la necesidad de almacenar identificadores tan sensibles, dados los riesgos a largo plazo del robo de identidad. Algunos clientes afectados ya han recibido alertas sobre la circulación de sus datos en la web oscura. Aunque Nova Scotia Power ofreció dos años de monitoreo de crédito gratuito a través de TransUnion, los críticos argumentan que esta protección es insuficiente para datos permanentes como los SIN. La reacción pública ha provocado investigaciones por parte del Comisionado de Privacidad federal, y se espera que los ejecutivos testifiquen ante los legisladores a principios de junio. Se inició una investigación en virtud de la Ley de Protección de la Información Personal y Documentos Electrónicos (PIPEDA).

Métodos de prevención:

• Minimizar la recopilación y retención de identificadores personales de alto riesgo (por ejemplo, SIN)
• Hacer cumplir estrictos controles de acceso y protección de terminales contra ransomware
• Monitorear continuamente los sistemas con herramientas de detección y respuesta a amenazas
• Mantener copias de seguridad cifradas e inmutables para respaldar una recuperación rápida

4. Tendencias en las brechas de datos canadienses#

Después de observar las mayores brechas de datos que ocurrieron en Canadá hasta 2025, podemos notar algunas observaciones que se repiten en estas brechas:

4.1 Las amenazas internas y los errores internos son una gran amenaza#

Al contrario de la imagen dramática de piratas informáticos que atraviesan firewalls, muchas de las brechas más dañinas en Canadá fueron causadas por personas internas o por configuraciones incorrectas del sistema interno. Este tipo de amenazas son especialmente difíciles de detectar porque provienen de fuentes confiables dentro de la organización. En algunos casos, como el de Desjardins, la brecha duró más de dos años antes de ser descubierta. Esto resalta una brecha crítica en cómo las empresas administran el acceso y monitorean la actividad interna. La implementación de procesos sólidos de verificación UBO puede ayudar a las organizaciones a identificar y gestionar mejor los riesgos internos.

4.2 Los errores simples pueden tener consecuencias masivas#

No todas las brechas de datos son el resultado de una guerra cibernética avanzada. De hecho, algunos de los incidentes más generalizados se redujeron a problemas básicos y solucionables, como bases de datos no seguras, sistemas mal configurados, aplicaciones espía ocultas no detectadas o configuraciones de seguridad olvidadadas. Estas vulnerabilidades a menudo pasan desapercibidas hasta que es demasiado tarde y, sin embargo, se encuentran entre las más fáciles de prevenir con auditorías periódicas.

4.3 El ransomware se ha convertido en una de las amenazas cibernéticas más disruptivas#

Lo que alguna vez pareció un delito cibernético de nicho ahora se ha convertido en una causa principal de brechas de datos y paradas operativas. Los ataques de ransomware, donde los actores maliciosos cifran sistemas críticos y exigen un pago para restaurar el acceso, han afectado a empresas de todos los tamaños, en industrias que van desde la salud hasta la manufactura. Más allá de la pérdida financiera, estos ataques pueden detener las operaciones diarias, dañar la confianza del cliente y crear un daño reputacional a largo plazo.

4.4 Nadie es inmune, incluso los servicios públicos están bajo ataque#

Los ciberataques ya no se limitan al mundo empresarial. Hemos visto brechas que afectan a hospitales, agencias gubernamentales, fuerzas del orden y servicios públicos. Cuando estos sistemas se interrumpen, las consecuencias no son solo digitales, sino que impactan la vida real de las personas.

5. Conclusión#

La creciente lista de brechas de datos en Canadá revela una verdad clara y urgente: desde grandes proveedores de salud e instituciones financieras hasta agencias gubernamentales y gigantes del comercio minorista, los atacantes están explotando una amplia gama de vulnerabilidades. Las brechas técnicas, las amenazas internas e incluso las configuraciones erróneas simples son parte de las grandes brechas de datos. Las consecuencias no son solo financieras, sino profundamente personales y afectan a millones de canadienses cuyos datos han sido expuestos o robados.

Lo que llama la atención es cuántas de estas brechas se podrían haber evitado con prácticas fundamentales de ciberseguridad: controles de acceso estrictos, capacitación de empleados, auditorías regulares de sistemas y configuraciones seguras. Al mismo tiempo, la creciente sofisticación del ransomware y los ataques de relleno de credenciales muestra que las defensas básicas no son suficientes. Las organizaciones deben evolucionar continuamente sus estrategias de seguridad, adoptando modelos de confianza cero (zero-trust), monitoreo avanzado y planes de respuesta a incidentes.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Cómo accedieron los piratas informáticos a las cuentas de la Agencia de Ingresos de Canadá en 2020 sin violar directamente los sistemas de la CRA?#

Los atacantes utilizaron el relleno de credenciales, introduciendo pares de nombre de usuario y contraseña robados previamente en el portal de inicio de sesión de la CRA. Debido a que los usuarios reutilizaron contraseñas y la CRA carecía de una autenticación multifactor generalizada, más de 11.000 cuentas se vieron comprometidas, lo que permitió a los atacantes alterar los detalles del depósito directo y solicitar beneficios gubernamentales relacionados con la pandemia.

¿Por qué la brecha de datos de Desjardins pasó desapercibida durante más de dos años?#

Una amenaza interna recopiló y filtró datos durante al menos 26 meses sin activar los sistemas de monitoreo de Desjardins. La exfiltración solo se descubrió después de la intervención del Comisionado de Privacidad federal, exponiendo en última instancia los detalles personales y financieros de 9,7 millones de personas, lo que lo convierte en uno de los casos de amenazas internas más importantes en la historia corporativa canadiense.

¿Qué hizo que el ataque de ransomware a Nova Scotia Power en 2025 fuera excepcionalmente grave en comparación con otras brechas canadienses?#

El ataque expuso los Números de Seguro Social de aproximadamente 140.000 clientes y los detalles de las cuentas bancarias para pagos preautorizados, cubriendo casi la mitad de la base de clientes de la empresa de servicios públicos. Los datos robados se publicaron en línea antes de ser detectados, y los críticos argumentan que los dos años de monitoreo de crédito gratuito ofrecidos son insuficientes para identificadores permanentes como los SIN.

¿Cómo ocurrió la brecha de datos canadiense de Yves Rocher en 2019 a pesar de que no hubo un hackeo directo de los propios sistemas de la empresa?#

Los investigadores descubrieron una base de datos Elasticsearch sin protección alojada por un proveedor externo, exponiendo registros de aproximadamente 2,5 millones de personas con acceso de lectura y escritura y sin necesidad de autenticación. El incidente muestra que los fallos de seguridad de proveedores y de la cadena de suministro pueden exponer directamente los datos de los clientes, incluida información comercial confidencial como fórmulas de productos y métricas de rendimiento de la tienda.