Una de las filtraciones de datos más grandes de la historia acaba de hacerse pública. La empresa de verificación de identidad IDMerit, con sede en California, dejó expuesta una base de datos MongoDB sin protección que contenía más de 1,000 millones de registros personales de ciudadanos de 26 países. Más de 200 millones de registros corresponden a Estados Unidos.
Qué datos fueron expuestos
La base de datos, que pesaba más de un terabyte, contenía información extremadamente sensible:
- Nombres completos y fechas de nacimiento
- Documentos de identidad nacionales (DNI, pasaportes, licencias)
- Direcciones postales y códigos postales
- Números de teléfono y direcciones de email
- Datos de género y metadatos de telecomunicaciones
- Estado de brechas previas y anotaciones de perfiles sociales
Cómo ocurrió la filtración
El equipo de investigación de Cybernews descubrió la instancia MongoDB expuesta el 11 de noviembre de 2025. IDMerit aseguró la base de datos al día siguiente, pero los investigadores estiman que los datos estuvieron accesibles durante un período indeterminado antes del descubrimiento.
El informe se publicó el 18 de febrero de 2026, poniendo el caso bajo escrutinio público. Hasta la fecha, IDMerit no ha emitido un comunicado detallado ni confirmado si los datos fueron exfiltrados por terceros maliciosos.
Qué es IDMerit y por qué tenían tus datos
IDMerit es una empresa de verificación de identidad (KYC) y prevención de fraude. Si alguna vez abriste una cuenta en un exchange de criptomonedas, una fintech, o cualquier servicio que te pidió foto de tu documento de identidad para verificar tu identidad, existe la posibilidad de que tus datos pasaran por una empresa como IDMerit.
Sus clientes incluyen empresas de servicios financieros, exchanges de crypto, plataformas de préstamos y servicios de telecomunicaciones en 26 países.
Cómo saber si te afecta
Aunque no existe una herramienta oficial para verificar si tus datos están en esta filtración, puedes tomar estas medidas:
- Revisa tu email en Have I Been Pwned para ver si apareces en brechas recientes
- Monitorea tu crédito: si usaste servicios KYC, activa alertas de crédito
- Cambia contraseñas de exchanges de crypto y servicios financieros
- Activa la autenticación de dos factores en todas las cuentas posibles
- Cuidado con el phishing: con nombres, emails y teléfonos expuestos, los ataques serán más personalizados
Los riesgos reales
Cuando bases de datos KYC se filtran, los atacantes pueden cometer:
- Robo de identidad con documentos reales
- Fraude crediticio usando datos personales verificados
- SIM swapping: tomar control de tu número de teléfono
- Phishing dirigido: ataques con información personal real que parecen legítimos
Qué sigue
Hasta ahora, ningún regulador ha anunciado investigaciones formales y no se han presentado demandas públicas. Sin embargo, dada la magnitud de la filtración — afectando potencialmente a cientos de millones de personas — es cuestión de tiempo antes de que las consecuencias legales se materialicen. Si usaste servicios que requieren verificación KYC, mantente alerta.
