Luego de que Antel confirmara el ciberataque a la plataforma TuID, cuyos resultados habían sido difundidos por un grupo hacker que se identifica como “LaPampaLeaks”, la abogada especializada en regulación de asuntos de tecnología, Agustina Pérez Comenale, señaló que el protocolo mencionado por la empresa tras la afectación “se realizó de manera incompleta”.
“En Uruguay, la normativa de protección de datos personales establece que ante una vulneración de seguridad que comprometa datos personales debe notificarse a la URCDP [Unidad Reguladora y de Control de Datos Personales] y, en determinados casos, también informarse a los titulares afectados y a la población sobre los riesgos e impactos del incidente”, afirmó la abogada.
“La obligación surge del artículo 38 de la ley nº 19.670 y del decreto 64/020, aplicable tanto al sector público como privado. Entre otras cosas, la regulación prevé la comunicación del incidente dentro de las 72 horas desde que se toma conocimiento de la vulneración. Ya es hora de que se supervise a los públicos y no solo a los privados”, agregó.
Que quede claro que lo que comunican desde Antel y el “protocolo” que mencionan se realizó de manera incompleta ??
— Agustina Perez Comenale (@PerezComenale) May 7, 2026
En Uruguay, la normativa de protección de datos personales establece que ante una vulneración de seguridad que comprometa datos personales debe notificarse a la… https://t.co/R5Zt49W0jW
La abogada apuntó que el caso vuelve “a poner sobre la mesa la importancia de protocolos claros de respuesta, transparencia y comunicación temprana en materia de ciberseguridad y protección de datos”.
En las últimas horas, el caso también fue abordado por la empresa de ciberseguridad Vecert Analyzer, que señaló el estado de “amenaza extrema”. “Se ha detectado una filtración crítica de datos dirigida a la infraestructura gubernamental de Uruguay en foros de la Dark Web. Un actor de amenazas que se autoidentifica como 'LaPampaLeaks' ha publicado un volcado de datos de 8 GB extraído del backend de Antel, la empresa de telecomunicaciones estatal”, señaló.
?? CRITICAL CYBER THREAT ALERT: STATE DIGITAL IDENTITY COMPROMISE (TuID) AND INTERNAL FILE THEFT – ANTEL (URUGUAY) ??????????? [STATUS: EXTREME THREAT]
— VECERT Analyzer (@VECERTRadar) May 7, 2026
A critical data leak targeting Uruguay's government infrastructure has been detected on Dark Web forums. A threat actor… pic.twitter.com/4wRMgJKgfH
En cuanto al análisis de la evidencia, Vecert indicó que “el actor de amenazas demostró que la clave API comprometida les otorgó acceso completo para leer —y, de manera crítica, para modificar— los datos de identidad digital de cientos de miles de ciudadanos”. “La muestra proporcionada (JSON) expone campos correspondientes al Nivel de Seguridad 3 (Verificación Biométrica)”, sumó.
Además, plantea algunas recomendaciones que debería seguir la empresa, como “revocar de inmediato todas las claves API de TuID Digital, rotar certificados de seguridad backend y auditar repositorios de código”. Asimismo, plantea “evaluar la suspensión temporal de validaciones de trámites críticos (financieros/legales) que dependan exclusivamente de TuID, a la espera de una auditoría de la integridad de la base de datos ciudadana”.
En la tarde del jueves, la empresa de telecomunicaciones emitió un comunicado donde sostuvo que “la División de Estrategias de Seguridad de Antel implementó los protocolos correspondientes para este tipo de situaciones”.
“La investigación del equipo de seguridad determinó que el ataque no vulneró las claves de autenticación de TuID, ni datos especialmente protegidos de la ciudadanía ni de la empresa, manteniendo la confiabilidad del sistema de firma electrónica avanzada”, sostuvo.
“En cumplimiento de la normativa, se realizó una contención inmediata del ataque y se aplicaron las medidas correctivas necesarias para detener la actividad ilícita. De forma simultánea, se realizaron las denuncias correspondientes ante la Fiscalía General de la Nación y el Ministerio del Interior”, agregó.