Egidio
Dossier · 2025-2026

España: filtraciones de datos que alimentan las estafas

No es un problema aislado ni un titular puntual — es la materia prima que permite a los estafadores construir llamadas y SMS personalizados, mucho más creíbles que un mensaje genérico enviado al azar.

Lo que dice la AEPD

2.765
Notificaciones de brechas de datos personales recibidas por la AEPD en 2025 (frente a 2.933 en 2024 y 2.005 en 2023) — el 80% procedente del sector privado.
AEPD, nota de prensa, enero 2026. Consultado el 15/07/2026.
200M+
Comunicaciones de riesgo alto emitidas en 2025 por los responsables que notificaron una brecha a la AEPD — el doble del impacto estimado el año anterior (unos 100 millones de personas).
AEPD, nota de prensa, enero 2026. Consultado el 15/07/2026.

Solo 11 de las 2.765 brechas notificadas en 2025 se trasladaron a investigación adicional, por tratarse de casos de severidad alta con indicios de falta de diligencia de la organización. Las que afectan a más personas suelen deberse a ransomware o a intrusiones con exfiltración masiva de datos.

Tres casos que marcaron los últimos años

2022 (multa: abril 2024)
Iberdrola — robo de datos de 1,3 millones de clientes (nombres, DNI, teléfonos, correos) tras un ciberataque de 2022. La AEPD sancionó a Iberdrola y su filial I-DE con 6,5 millones de euros combinados, por no haber supervisado la seguridad de sus sistemas desde 2019. Los clientes afectados empezaron a recibir llamadas comerciales sospechosamente personalizadas con sus propios datos.
Febrero y diciembre 2024
CaixaBank — dos brechas de seguridad distintas sancionadas por la AEPD el mismo año: 5 millones de euros por permitir que clientes vieran datos de transferencias de otras personas con las que no tenían relación alguna (DNI, dirección, número de cuenta expuestos), y 3,5 millones de euros adicionales en diciembre por otro fallo de seguridad en el acceso a banca online.
Abril 2026
Basic-Fit — acceso no autorizado, detectado y bloqueado en cuestión de minutos, a un sistema que registra las visitas de socios. La brecha expuso datos (nombres, fechas de nacimiento, datos bancarios y de contacto) de cerca de un millón de clientes en seis países, entre ellos España, donde la cadena da servicio a cerca de 400.000 socios.

El vocabulario a conocer

Have I Been Pwned

Servicio gratuito creado por el investigador de seguridad Troy Hunt: introduce tu correo para saber si aparece en una filtración de datos conocida.

Credential stuffing

Un atacante prueba masivamente, en otros sitios, credenciales robadas en una filtración anterior — apostando a que reutilizas la misma contraseña en varios servicios.

Password spraying

Lo contrario del ataque de fuerza bruta clásico: el atacante prueba una contraseña muy común en muchas cuentas distintas, para pasar desapercibido ante los sistemas de detección.

Fatiga MFA

Un atacante que ya posee tu contraseña dispara una ráfaga de solicitudes de verificación por notificación, esperando que termines aceptando por cansancio o error.

El SIM swap, otra técnica ligada directamente a la explotación de datos filtrados, está detallado en el glosario.

🔒 Tus datos pueden haber sido filtrados sin que ninguna acción tuya tenga la culpa — pero la protección sigue siendo posible después: Egidio reconoce los patrones de llamadas y SMS construidos a partir de datos robados, incluso cuando están personalizados. Ver cómo funciona Medusa.

Preguntas frecuentes

¿Cómo sé si mis datos han sido filtrados?

Have I Been Pwned (haveibeenpwned.com) es un servicio gratuito, creado por el investigador de seguridad Troy Hunt, que permite comprobar si tu dirección de correo aparece en filtraciones de datos conocidas.

¿España está especialmente afectada por las filtraciones de datos?

La AEPD recibió 2.765 notificaciones de brechas de datos personales en 2025, un volumen que ha generado más de 200 millones de comunicaciones a personas afectadas por riesgo alto — el doble del impacto registrado el año anterior, cuando se estimaban en torno a 100 millones de personas afectadas.

¿Por qué una filtración de datos lleva a llamadas o SMS fraudulentos?

Porque una filtración suele contener nombre, teléfono y a veces datos bancarios o del empleador — suficiente para construir una llamada o SMS creíble y personalizado, mucho más eficaz que un mensaje genérico enviado al azar. El caso Iberdrola lo ilustra: tras la filtración, los clientes afectados empezaron a recibir llamadas comerciales sospechosamente personalizadas con sus propios datos.

Para saber más