Las 10 mayores brechas de datos en EE. UU. [2026]

1. Introducción: ¿Por qué las brechas de datos son un riesgo para las organizaciones en EE. UU.?#

Las brechas de datos en los Estados Unidos han aumentado en los últimos años, convirtiéndose en una preocupación crítica para organizaciones, individuos y entidades gubernamentales por igual. El número de incidentes reportados alcanzó los 3.158 tan solo en 2024, afectando a más de 1.350 millones de personas. Se trata de un aumento alarmante en comparación con 2021, teniendo en cuenta que ese año solo se registraron 1.862 brechas. Industrias como los servicios financieros, la atención médica y los servicios profesionales se han visto particularmente afectadas, lo que resalta su vulnerabilidad y atractivo para los ciberdelincuentes. Las brechas en la atención médica, en particular, han demostrado ser notablemente severas y persistentes. En 2023, la asombrosa cifra de 725 brechas de datos relacionadas con la atención médica expuso más de 133 millones de registros, y el mayor incidente afectó por sí solo a 11,3 millones de individuos. Para abril de 2024, solo 54 brechas en la atención médica lograron afectar a más de 15 millones de pacientes.

En este artículo, analizamos las diez brechas de datos más significativas en la historia de EE. UU., descubriendo cómo ocurrieron, sus impactos y las lecciones que las organizaciones deben aprender para protegerse contra futuras amenazas.

2. ¿Por qué EE. UU. es un objetivo atractivo para las brechas de datos?#

Al tener la mayor economía del mundo, EE. UU. es un objetivo atractivo para los ciberdelincuentes debido a una serie de criterios específicos que se dan en este país:

2.1 La economía más grande y volumen de datos#

Estados Unidos se destaca como la economía más grande del mundo y un centro global para sectores como la tecnología, las finanzas, la atención médica y el comercio minorista, cada uno de los cuales genera y almacena enormes cantidades de datos confidenciales. Estos vastos depósitos de datos representan objetivos lucrativos para los atacantes que buscan ganancias financieras, valiosa propiedad intelectual o información personal para el robo de identidad y el fraude.

2.2 Presencia de grandes corporaciones y agencias gubernamentales#

Como potencia económica mundial, EE. UU. alberga a muchas empresas de la lista Fortune 500, corporaciones multinacionales y agencias gubernamentales críticas responsables de la infraestructura y la seguridad nacional. Estas organizaciones gestionan bases de datos extensas que contienen datos confidenciales de clientes, empleados y operativos. La naturaleza crítica de esta información aumenta tanto la probabilidad como la gravedad de las brechas, amplificando el daño potencial infligido por los incidentes cibernéticos.

2.3 Mosaico de regulaciones#

El fragmentado panorama regulatorio en los estados y en las distintas industrias de EE. UU. crea estándares de ciberseguridad inconsistentes, lo que resulta en posibles vacíos en la protección de datos y su cumplimiento. En comparación con los países que tienen regulaciones de ciberseguridad estrictas y uniformes, este enfoque de mosaico reduce las barreras para los ciberdelincuentes, facilitándoles la identificación y explotación de vulnerabilidades.

En conjunto, estos factores posicionan a EE. UU. como un entorno especialmente vulnerable y atractivo para las ciberamenazas, lo que requiere medidas de ciberseguridad proactivas.

3. Las mayores brechas de datos en EE. UU.#

A continuación, encontrará una lista de las mayores brechas de datos en EE. UU. Las brechas de datos están ordenadas de forma descendente por el número de cuentas afectadas.

3.1 Brecha de datos de Yahoo (2013-2016)#

En una serie de ciberataques entre 2013 y 2016, Yahoo sufrió la que sigue siendo la mayor brecha de datos en la historia de EE. UU., comprometiendo alrededor de 3.000 millones de cuentas de usuario. La información robada incluía nombres, direcciones de correo electrónico, números de teléfono, fechas de nacimiento, contraseñas con hash (usando MD5, considerado inseguro) y preguntas y respuestas de seguridad sin encriptar. La brecha fue vinculada a actores patrocinados por el estado, con sospechas apuntando a agentes rusos.

El impacto fue enorme: la reputación de Yahoo sufrió un daño severo, y su pendiente adquisición por parte de Verizon en 2017 se descontó en 350 millones de dólares como consecuencia directa. Las críticas se centraron en el retraso de Yahoo para informar al público y en sus prácticas de seguridad obsoletas, en particular el uso de algoritmos débiles para el hash de contraseñas y el hecho de no haber encriptado adecuadamente los datos de seguridad críticos.

Métodos de prevención:

• Usar estándares de encriptación más fuertes como bcrypt para contraseñas e información confidencial
• Establecer protocolos de notificación rápida de brechas
• Emplear autenticación multifactor (p. ej., claves de acceso) para mitigar el impacto del robo de credenciales

3.2 Brecha de National Public Data (NPD) (2024)#

En marzo de 2024, National Public Data (NPD), un importante corredor de datos, experimentó una de las mayores brechas en la historia de EE. UU., exponiendo información confidencial de aproximadamente 1.300 millones de individuos. Una base de datos mal configurada permitió el acceso no autorizado a registros personales muy detallados, incluyendo nombres completos, direcciones físicas, fechas de nacimiento, números de seguridad social, números de teléfono y direcciones de correo electrónico. La brecha resultó en casi 2.900 millones de registros de datos comprometidos en total.

Los datos expuestos plantearon graves riesgos de robo de identidad y fraude, lo que llevó al colapso de las operaciones de NPD en cuestión de meses. Las investigaciones revelaron que la empresa carecía de medidas de seguridad fundamentales, como controles de acceso adecuados a la base de datos y evaluaciones regulares de vulnerabilidades. El evento reavivó el debate público sobre la regulación y la supervisión de los corredores de datos que manejan volúmenes masivos de información personal sin obligaciones de seguridad suficientes.

Métodos de prevención:

• Implementar controles de acceso estrictos y mecanismos de autenticación para bases de datos confidenciales
• Auditar y probar regularmente los sistemas en busca de vulnerabilidades y malas configuraciones
• Encriptar la información personal en reposo y en tránsito para minimizar el riesgo de exposición

3.3 Brecha de datos de Real Estate Wealth Network (2023)#

En septiembre de 2023, la Real Estate Wealth Network (REWN), un agregador de datos de propiedades, sufrió una brecha masiva debido a una base de datos insegura que quedó expuesta a internet sin autenticación. Se accedió a aproximadamente 1.500 millones de registros de datos, incluyendo nombres, direcciones, registros de propiedad, números de teléfono y detalles confidenciales relacionados con propiedades, involucrando a figuras públicas y celebridades muy conocidas.

La brecha atrajo una gran atención de los medios debido a la exposición de las tenencias inmobiliarias de personas de alto perfil, lo que generó preocupación sobre la seguridad personal y ataques dirigidos. Los expertos criticaron a REWN por no implementar protocolos de ciberseguridad básicos, como la autenticación de la base de datos, la encriptación y el registro de accesos.

Métodos de prevención:

• Exigir autenticación para todas las bases de datos, incluso aquellas que contienen datos de fuentes públicas
• Realizar pruebas de penetración y auditorías de seguridad periódicas
• Monitorear los activos expuestos continuamente para detectar malas configuraciones a tiempo

3.4 Brecha de datos de Facebook (2019/2021)#

En 2019, ciberdelincuentes aprovecharon la función de importación de contactos de Facebook para extraer la información personal de aproximadamente 533 millones de usuarios en 106 países. Aunque Facebook restringió el raspado masivo de datos más adelante ese mismo año, el conjunto de datos compilado resurgió públicamente en abril de 2021 cuando se publicó en un foro de piratería para su acceso gratuito.

A diferencia de una brecha tradicional en la que los atacantes acceden directamente a los sistemas internos, este incidente involucró una recolección masiva y automatizada de datos utilizando funcionalidades disponibles de la plataforma. El conjunto de datos filtrados incluía nombres, números de teléfono, direcciones de correo electrónico e información de ubicación, creando graves riesgos de phishing, ataques de intercambio de SIM (SIM-swapping) y otras formas de explotación de identidad. Facebook enfrentó críticas generalizadas por subestimar las implicaciones de los datos raspados y por su lenta respuesta tras la divulgación.

Métodos de prevención:

• Limitar la exposición de datos a través de controles más estrictos de acceso a API y funciones
• Monitorear el comportamiento de raspado inusual utilizando herramientas de detección automatizadas
• Notificar proactivamente a los usuarios y a los reguladores cuando ocurra un raspado de datos a gran escala

3.5 Brecha de datos de LinkedIn (2021)#

En junio de 2021, LinkedIn experimentó un importante incidente de raspado de datos, exponiendo información de unos 700 millones de usuarios (aproximadamente el 92 % de su base de usuarios en ese momento). Los atacantes explotaron la API de LinkedIn para recopilar sistemáticamente información pública de los perfiles, incluyendo nombres, correos electrónicos, números de teléfono, datos de geolocalización e historiales profesionales. El conjunto de datos raspado se puso luego a la venta en un foro de la dark web.

Si bien LinkedIn afirmó que no se vulneraron datos privados y que la información era visible para el público, los expertos en ciberseguridad enfatizaron que el volumen y la agregación de datos seguían presentando riesgos significativos para el phishing dirigido, la ingeniería social y el robo de identidad. El incidente puso de manifiesto la delgada línea que separa el raspado de datos "públicos" de las graves violaciones de privacidad cuando estos se agregan a gran escala.

Métodos de prevención:

• Implementar limitación de velocidad y protecciones CAPTCHA en las API para disuadir el raspado automatizado
• Mejorar los sistemas de detección de anomalías para identificar la recolección de datos a gran escala
• Educar a los usuarios para que limiten la información públicamente visible en sus perfiles

3.6 Brecha de datos de Exactis (2018)#

En junio de 2018, Exactis, una empresa de agregación de datos y marketing con sede en EE. UU., expuso de forma inadvertida una base de datos que contenía aproximadamente 340 millones de registros comerciales e individuales. La brecha fue descubierta por un investigador de seguridad que halló que la base de datos era accesible en línea sin ninguna protección por contraseña. Los datos expuestos incluían nombres, direcciones, números de teléfono, direcciones de correo electrónico y atributos personales muy detallados como intereses, hábitos e información financiera.

Aunque no hubo confirmación de que actores malintencionados accedieran a los datos antes de que se aseguraran, la amplitud y granularidad de la información filtrada planteaban un alto riesgo de robo de identidad, phishing y otros ataques dirigidos. El incidente llamó la atención sobre las prácticas en gran parte no reguladas de los corredores de datos y avivó los pedidos de una legislación de privacidad de datos más fuerte en Estados Unidos.

Métodos de prevención:

• Exigir siempre autenticación para el acceso a las bases de datos
• Limitar la cantidad de información personal confidencial recopilada y almacenada
• Realizar auditorías y revisiones de seguridad periódicas para garantizar que existan medidas de protección de datos adecuadas

3.7 Brecha de datos de First American Financial Corporation (2019)#

En mayo de 2019, First American Financial Corporation, uno de los mayores proveedores de seguros de títulos y servicios de liquidación en los Estados Unidos, expuso aproximadamente 885 millones de registros confidenciales a través de una vulnerabilidad en su sitio web. Debido a un control de acceso inadecuado, cualquiera con un enlace de URL válido a un documento podía ver otros documentos no relacionados simplemente modificando dígitos en la URL, sin autenticación.

Los documentos filtrados incluían información personal y financiera crítica, como números de seguridad social, detalles de cuentas bancarias, registros hipotecarios y documentos de impuestos, poniendo a los clientes en un riesgo significativo de fraude y robo de identidad. La brecha fue particularmente alarmante dada la naturaleza altamente confidencial de los registros de transacciones de bienes raíces, y subrayó grandes vacíos en las prácticas de seguridad de las aplicaciones web en el sector financiero.

Métodos de prevención:

• Implementar controles de acceso y verificaciones de autenticación robustos para repositorios de documentos
• Realizar pruebas de seguridad exhaustivas (p. ej., pruebas de penetración) antes de implementar aplicaciones públicamente
• Monitorear y auditar los patrones de acceso de las aplicaciones para detectar comportamientos anormales a tiempo

3.8 Brecha de datos de Ticketmaster (2024)#

En mayo de 2024, Ticketmaster, una de las mayores empresas de venta de entradas a nivel mundial, sufrió una brecha de datos masiva que afectó a unos 560 millones de clientes en todo el mundo, con una proporción significativa radicada en los Estados Unidos. Según se informa, los atacantes obtuvieron acceso no autorizado a través de un entorno de almacenamiento en la nube de un tercero que había sido comprometido, exponiendo los nombres de los clientes, direcciones físicas y correos electrónicos, números de teléfono y, en algunos casos, detalles parciales de las tarjetas de pago.

La brecha reavivó la preocupación por los riesgos de los proveedores externos y la seguridad de la nube, especialmente para las plataformas de consumo a gran escala que manejan transacciones financieras. También planteó dudas sobre el cumplimiento de la empresa con los estándares modernos de protección de datos como PCI DSS y el RGPD. Tras el incidente, Ticketmaster se enfrentó a múltiples demandas colectivas e investigaciones regulatorias.

Métodos de prevención:

• Fortalecer la gestión de riesgos de los proveedores y auditar a los proveedores externos con regularidad
• Encriptar toda la información almacenada de los clientes, especialmente los datos relacionados con el pago
• Implementar modelos de acceso de confianza cero (zero-trust) para los entornos de la nube con el fin de limitar la superficie de ataque

3.9 Brecha de datos de MySpace (2016)#

En mayo de 2016, un hacker conocido como "Peace" puso a la venta una gran cantidad de datos de usuarios de MySpace en la dark web, que comprendía aproximadamente 427 millones de cuentas. Aunque los datos parecían provenir de una brecha que tuvo lugar en 2013 o antes, no se descubrió hasta años después. Los registros expuestos incluían nombres de usuario, direcciones de correo electrónico y contraseñas débilmente protegidas con un hash SHA-1 sin sal (unsalted), lo que las hacía muy vulnerables a ser descifradas.

Aunque la popularidad de MySpace ya había disminuido en el momento en que se descubrió la brecha, el incidente siguió planteando riesgos porque muchos usuarios reutilizaban contraseñas en múltiples plataformas. Como resultado, las credenciales de la brecha de MySpace pudieron utilizarse para ataques de relleno de credenciales en otros servicios. El evento subrayó la necesidad crítica de contar con prácticas sólidas de hash de contraseñas y la detección oportuna de las brechas.

Métodos de prevención:

• Usar algoritmos modernos y seguros para el hash de contraseñas como bcrypt o Argon2
• Rotar periódicamente las prácticas criptográficas y abandonar algoritmos obsoletos
• Monitorear si hay filtraciones de credenciales y alertar a los usuarios para que restablezcan sus contraseñas de inmediato después de las brechas

3.10 Brecha de datos de JPMorgan Chase (2014)#

En 2014, JPMorgan Chase reveló una de las brechas más significativas que haya afectado al sector financiero de EE. UU., afectando a aproximadamente 76 millones de hogares y 7 millones de pequeñas empresas. Los atacantes lograron acceder a través de una cuenta de empleado comprometida, explotando debilidades en la infraestructura de la red del banco. Si bien no se robó información financiera como números de cuenta, contraseñas o números de la Seguridad Social, los atacantes sí obtuvieron nombres, direcciones, correos electrónicos y números de teléfono.

La brecha atrajo una gran atención debido al papel fundamental del banco en la economía estadounidense e hizo saltar las alarmas en toda la industria de servicios financieros con respecto a la preparación en materia de ciberseguridad. Provocó un mayor escrutinio regulatorio e impulsó a muchas instituciones financieras a reevaluar sus marcos de ciberseguridad, especialmente en lo relativo a las protecciones de las cuentas de los empleados y la segmentación de la red.

Métodos de prevención:

• Imponer la autenticación multifactor (MFA) en todas las cuentas internas y externas
• Implementar una sólida segmentación de la red para limitar el movimiento lateral en caso de que se vea comprometida
• Probar y actualizar regularmente los protocolos de seguridad para la gestión de acceso de los empleados

4. Tendencias en las brechas de datos de EE. UU.#

Tras observar las mayores brechas de datos ocurridas en EE. UU. hasta 2025, notamos algunas observaciones que se repiten en estas vulneraciones:

4.1 Las malas configuraciones básicas son tan problemáticas como los ciberataques sofisticados#

Un punto en común en muchas de las mayores brechas de datos es que no fueron el resultado de ataques muy sofisticados, sino más bien de malas configuraciones básicas y vulnerabilidades ignoradas. Bases de datos abiertas sin protección por contraseña, controles de acceso débiles y API aseguradas de forma inadecuada permitieron repetidamente a los atacantes acceder con facilidad. En casos como las brechas de National Public Data y Real Estate Wealth Network, simplemente escanear internet en busca de sistemas no asegurados fue suficiente para obtener acceso a miles de millones de registros. Esto resalta que invertir en higiene cibernética básica, como controles de acceso, encriptación adecuada y refuerzo del sistema, habría prevenido muchos de estos incidentes.

4.2 La información personal es el objetivo principal#

Otra tendencia notable es que la información personal confidencial se ataca y expone constantemente. En casi todas las brechas, los conjuntos de datos incluyeron nombres, direcciones, fechas de nacimiento, direcciones de correo electrónico, números de teléfono y, en los casos más perjudiciales, números de la Seguridad Social. La amplitud de los detalles personales expuestos aumenta drásticamente el riesgo de robo de identidad, ataques de phishing y fraude financiero. Por ejemplo, la implementación de políticas de contraseñas sólidas y controles de acceso es crucial para la prevención del fraude en organizaciones sin fines de lucro. Las organizaciones, incluso aquellas que no pertenecen a sectores regulados como las finanzas o la atención médica, deben tratar cualquier recolección de datos personales con los estándares de seguridad más altos porque su valor para los atacantes sigue siendo muy alto en todo momento.

4.3 Protección de contraseñas y criptografía débiles#

Las malas prácticas de gestión de contraseñas y las protecciones criptográficas obsoletas empeoraron aún más las consecuencias de varias brechas. En incidentes como los de Yahoo y MySpace, las contraseñas se almacenaban mediante algoritmos de hash débiles como MD5 y SHA-1 o no tenían suficiente "sal" (salt), por lo que se podían descifrar fácilmente una vez robadas. Esto amplió significativamente el impacto al permitir a los atacantes reutilizar las contraseñas en otros servicios mediante el relleno de credenciales. Aun cuando las contraseñas sean robadas, el uso de métodos de encriptación sólidos y estándares criptográficos modernos puede limitar en gran medida el riesgo derivado para usuarios y empresas.

4.4 Explotación de API y raspado masivo de datos#

Una importante evolución en las tácticas de vulneración es la creciente dependencia en la explotación de API y el raspado de datos en lugar de las técnicas tradicionales de piratería. Las brechas como las de LinkedIn y Facebook demostraron que los atacantes aprovechan cada vez más las API o las funciones públicas mal protegidas para recopilar grandes volúmenes de datos de los usuarios. Aunque las empresas suelen minimizar la gravedad del raspado aludiendo a la naturaleza pública de los datos, la agregación y combinación de la información raspada puede crear bases de datos potentes y peligrosas. Esta tendencia subraya la necesidad de que las organizaciones apliquen un control estricto en la limitación de velocidad, el monitoreo y la autenticación en todas las API e interfaces públicas, tratándolas con el mismo rigor que los sistemas de back-end.

5. Conclusión#

Las mayores brechas de datos en la historia de EE. UU. revelan un patrón claro y constante: la mayoría de los incidentes eran prevenibles. En lugar de ser el resultado de ciberataques muy avanzados, muchas brechas se originaron por errores básicos: bases de datos no seguras, estándares criptográficos obsoletos, protecciones de API insuficientes y la subestimación del valor de la información personal. Estas fallas permitieron a los atacantes acceder a volúmenes masivos de datos confidenciales con relativa facilidad, exponiendo a los individuos a riesgos como el robo de identidad, el fraude financiero y ataques dirigidos.

Para organizaciones de todos los tamaños e industrias, las lecciones sobre que los fundamentos de la ciberseguridad no se pueden descuidar son claras. Proteger los datos personales requiere no solo medidas técnicas contundentes, sino también un enfoque proactivo para la configuración del sistema, los estándares criptográficos, la gestión de riesgos de los proveedores y la detección de brechas. A medida que la cantidad de datos recopilados crece exponencialmente, también lo hace la responsabilidad de protegerlos.

Acerca de Corbado

Corbado es la Passkey Intelligence Platform para equipos de CIAM que gestionan autenticación de consumidores a gran escala. Te ayudamos a ver lo que los logs de tu IDP y las herramientas de analytics genéricas no muestran: qué dispositivos, versiones de SO, navegadores y gestores de credenciales soportan passkeys, por qué los registros no se convierten en inicios de sesión, dónde falla el flujo de WebAuthn y cuándo una actualización de SO o navegador rompe el login en silencio — todo sin reemplazar Okta, Auth0, Ping, Cognito o tu IDP propio. Dos productos: Corbado Observe aporta observabilidad para passkeys y cualquier otro método de login. Corbado Connect añade passkeys gestionados con analytics integrado (junto a tu IDP). VicRoads ejecuta passkeys para más de 5M de usuarios con Corbado (+80 % de activación de passkey). Habla con un experto en Passkeys →

Preguntas frecuentes#

¿Por qué las prácticas de seguridad de Yahoo se consideraron inadecuadas durante su brecha de datos de 2013-2016?#

Yahoo almacenaba contraseñas usando MD5, un algoritmo criptográficamente débil, y mantenía las preguntas y respuestas de seguridad completamente sin encriptar. La brecha se vinculó a actores patrocinados por el estado que se cree eran agentes rusos. Yahoo enfrentó severas críticas por retrasar la divulgación pública, revelando el alcance total recién en 2016 a pesar de que las brechas ocurrieron años antes.

¿Cómo la brecha de National Public Data expuso miles de millones de registros sin un ciberataque sofisticado?#

Una base de datos mal configurada en National Public Data permitió el acceso no autorizado sin ninguna autenticación en marzo de 2024. La empresa carecía de medidas de seguridad fundamentales, incluyendo controles adecuados de acceso a la base de datos y evaluaciones regulares de vulnerabilidades. La brecha resultó en casi 2.900 millones de registros de datos comprometidos y llevó directamente al colapso operativo de NPD en cuestión de meses.

¿Por qué el raspado de API se considera un grave riesgo de brecha de datos incluso cuando los datos extraídos son técnicamente públicos?#

Los atacantes explotan API con seguridad deficiente para recopilar datos a escala masiva, como lo demostraron las brechas de LinkedIn (700 millones de usuarios, aproximadamente el 92 % de su base de usuarios) y de Facebook (533 millones de usuarios). La agregación de puntos de datos individualmente públicos crea perfiles personales detallados que facilitan el phishing, el intercambio de SIM (SIM-swapping) y el robo de identidad a gran escala.

¿Qué fallas en el hash de contraseñas empeoraron el impacto derivado de las brechas de Yahoo y MySpace?#

Yahoo utilizó el hash MD5 y MySpace usó SHA-1 sin sal (unsalted), ambos estándares criptográficamente débiles. Estos métodos hicieron que las credenciales robadas fueran fáciles de descifrar, lo que permitió a los atacantes realizar ataques de relleno de credenciales en otras plataformas donde los usuarios reutilizaban contraseñas. Los algoritmos modernos como bcrypt o Argon2 reducirían significativamente este riesgo derivado.

¿Cómo aumenta la vulnerabilidad de las organizaciones a las brechas de datos el fragmentado panorama regulatorio de EE. UU.?#

El mosaico de regulaciones estatales y de la industria en EE. UU. crea estándares de ciberseguridad inconsistentes, dejando vacíos en la protección y cumplimiento de los datos. En comparación con países que tienen regulaciones estrictas y uniformes, este enfoque reduce las barreras para que los ciberdelincuentes identifiquen y exploten vulnerabilidades. Los corredores de datos como NPD y Exactis operaban con obligaciones de seguridad mínimas a pesar de poseer miles de millones de registros personales confidenciales.