Resumen diario La información matutina de toda América Latina. Gratis.
Al suscribirte aceptas nuestra política de privacidad. Nunca compartimos su correo electrónico.
Brasil · Tecnología
Hechos clave
—El incumplimiento: iFood, la plataforma de entrega de alimentos dominante en Brasil, confirmó el 3 de junio que un pirata informático expuso los nombres y números de identificación fiscal de alrededor de 1,2 millones de usuarios, aproximadamente el 2% de su base de clientes.
—Lo que se filtró: La compañía dice que solo los datos de registro (nombre completo y número de contribuyente CPF) se vieron afectados, sin contraseñas, métodos de pago ni registros financieros comprometidos.
—El momento: iFood dice que el incidente ocurrió en diciembre de 2025 y fue contenido en ese momento; lo reveló públicamente sólo seis meses después, citando una exención de la ley de datos brasileña para violaciones que consideró de bajo riesgo.
—La disputa: Un actor de la web oscura reclama un tesoro mucho mayor de 43,8 millones de registros, incluidos correos electrónicos, teléfonos y datos de tarjetas. iFood dice que no encontró evidencia que respalde esa cifra.
—El regulador: La Autoridad Nacional de Protección de Datos (ANPD) de Brasil pidió explicaciones a iFood y está sopesando la gravedad del incidente.
iFood dice que un pirata informático expuso los nombres y las identificaciones fiscales de 1,2 millones de brasileños. (Foto reproducción de Internet)RTPregúntele a Rio TimesPregunte sobre los mercados, las monedas y las empresas de América Latina: respuestas a partir de nuestros informes y datos en vivo.Empieza a preguntar →
La empresa de entrega de alimentos más grande de América Latina ha confirmado una violación de datos que afecta a más de un millón de clientes y ahora cuestiona la afirmación de un pirata informático de que la verdadera escala es decenas de veces mayor.
Lo que expuso la violación de datos de iFood iFood, la aplicación de entrega de alimentos que maneja aproximadamente 120 millones de pedidos al mes para unos 60 millones de clientes en más de 1.500 ciudades brasileñas, dijo en un comunicado el miércoles que los datos personales de alrededor de 1,2 millones de usuarios habían sido expuestos. Esa cifra representa cerca del 2% de su base de clientes. Según la empresa, la información filtrada se limitó a los detalles de registro: los nombres completos de los usuarios y su CPF, el número de identificación del contribuyente individual que funciona como el principal identificador personal de Brasil. iFood dijo que no se vieron afectados contraseñas, métodos de pago, registros financieros o historiales de transacciones, y que no encontró evidencia de acceso a datos bancarios.
La compañía caracterizó el episodio como un incidente aislado que tuvo lugar en diciembre de 2025 y fue rápidamente neutralizado por sus protocolos de seguridad en ese momento. Dijo que opera de conformidad con la Ley General de Protección de Datos de Brasil, conocida por su acrónimo portugués LGPD, y recordó a los clientes que traten sólo los canales oficiales de la plataforma como fuentes legítimas de comunicación sobre el asunto.
Un retraso de seis meses y las preguntas de un regulador Uno de los aspectos más controvertidos de la divulgación es su momento. La infracción se remonta a diciembre de 2025, pero iFood la hizo pública recién esta semana, aproximadamente seis meses después. La empresa argumentó que la ley brasileña exime del requisito de notificar a las personas afectadas cuando un incidente no crea un riesgo o daño relevante, según los criterios establecidos por el regulador de protección de datos. Esa justificación está ahora bajo escrutinio.
La Autoridad Nacional de Protección de Datos, la ANPD, ha pedido explicaciones a iFood y ha señalado que evaluará la gravedad del incidente, sopesando factores como el tipo de datos expuestos, el número de personas afectadas y las posibles consecuencias. La autoridad señaló que incluso cuando el alcance del daño es incierto, el controlador de datos (en este caso iFood) está obligado a adoptar medidas preventivas adecuadas. Para una empresa que posee los números de identificación fiscal y los datos de contacto de decenas de millones de brasileños, la cuestión regulatoria es si se mantendrá la clasificación de bajo riesgo que justificó la demora en la divulgación.
La disputada reclamación récord de 43,8 millones La confirmación de iFood se produjo tras informes de medios de tecnología brasileños y una afirmación que circuló en un foro de piratería de la web oscura. Un usuario de BreachForums, un mercado donde se compra y vende material robado, afirmó la semana pasada que contiene datos de más de 43,8 millones de clientes brasileños de iFood, un conjunto que supuestamente incluye no sólo nombres e identificaciones fiscales sino también correos electrónicos, números de teléfono e información de tarjetas de crédito. Un monitor de ciberseguridad independiente advirtió que, si es exacto, ese tesoro podría permitir fraudes financieros y de identidad a gran escala, incluidas campañas masivas de phishing utilizando datos de contacto verificados. Según los informes, el actor exigió que iFood se pusiera en contacto antes del 10 de junio y pagara una suma no especificada.
iFood empujó hacia atrás con firmeza la figura más grande. La compañía dijo que después de repetidos análisis no encontró evidencia de que se hubieran filtrado 43 millones de registros de usuarios y que el material publicado en línea corresponde al mismo incidente aislado de diciembre de 2025 que ya había identificado y contenido. La brecha entre la cuenta de la empresa y el reclamo del delincuente (y si describen una infracción o dos) sigue sin resolverse y es parte de lo que examinará el regulador.
Por qué es importante más allá de Brasil iFood es uno de los campeones tecnológicos más destacados de América Latina, una plataforma brasileña que se ha defendido de rivales bien financiados, incluido el relanzamiento de 99Food, propiedad de Didi de China, y la llegada regional de Keeta de Meituan. Una violación que afecta los identificadores personales de más de un millón de usuarios (y un reclamo más ruidoso y no verificado de uno mucho mayor) ocurre en un momento en que los regímenes de protección de datos de la región aún están madurando y los registros de aplicación de la ley son escasos. Para los inversores extranjeros que observan la economía digital de Brasil, el episodio es una prueba de cuán agresivamente controlará la ANPD las obligaciones de divulgación, y de cuánto riesgo reputacional y regulatorio se esconde dentro de los datos de consumo de las plataformas que ahora median en la vida cotidiana en todo el país.
Preguntas frecuentes
¿Cuántos usuarios de iFood se vieron afectados? iFood confirmó alrededor de 1,2 millones de usuarios, aproximadamente el 2% de su base. Un actor de la web oscura afirma tener 43,8 millones de registros mucho más grandes, algo que iFood dice que no encontró evidencia que lo respalde.
¿Qué datos se filtraron? Según iFood, sólo nombres y números de contribuyentes del CPF. La compañía dice que no se vieron comprometidas contraseñas, métodos de pago, registros financieros o datos bancarios.
¿Cuándo ocurrió la infracción? iFood dice que el incidente ocurrió en diciembre de 2025 y fue contenido en ese momento. No reveló públicamente la infracción hasta junio de 2026, citando una exención de la ley de datos para incidentes de bajo riesgo.
¿iFood se enfrenta a medidas regulatorias? La autoridad de protección de datos de Brasil, la ANPD, ha pedido explicaciones a iFood y está evaluando la gravedad del incidente, incluido el retraso en la divulgación.