Un adolescente de 15 años hackeó los pasaportes de 19 millones de franceses
No era un espía. No era un criminal organizado. Era un adolescente de 15 años. En abril de 2026 comprometió la base de datos de identidad de un tercio de la población francesa. Los datos ya están en venta en el mercado negro.
El 15 de abril de 2026, los sistemas de la ANTS —la Agencia Nacional de Títulos Seguros del gobierno francés, la misma que emite cada pasaporte, cada credencial de identidad y cada licencia de conducir en Francia— comenzaron a comportarse de manera extraña.
Una semana después, el gobierno confirmó lo peor: un intruso había accedido a la base de datos y extraído información personal de al menos 11.7 millones de ciudadanos. El hacker afirmaba tener hasta 19 millones de registros —un tercio de toda la población francesa— y ya los estaba vendiendo en foros del mercado negro.
El 25 de abril, la policía arrestó al responsable. Tenía 15 años.
El hacker que paralizó a una agencia gubernamental
Un adolescente
Alias online: "breach3d" y "ExtaseHunters"
¿Qué es ANTS y por qué es tan grave?
La ANTS no es una empresa privada ni una plataforma de redes sociales. Es el organismo oficial del gobierno de Francia encargado de fabricar y gestionar los documentos de identidad de todos sus ciudadanos. Cada pasaporte francés, cada credencial nacional, cada licencia de conducir pasa por sus sistemas.
Hackear a la ANTS no es como hackear una tienda online. Es como hackear el registro civil de un país entero. Los datos que contiene son los más sensibles que existen: quién eres, dónde naciste, dónde vives, cómo contactarte. Datos que no puedes cambiar. Datos que te acompañan de por vida.
Datos que SÍ fueron robados
- ? Nombre completo
- ? Fecha y lugar de nacimiento
- ? Dirección postal y de correo electrónico
- ? Número de teléfono
Datos que NO fueron comprometidos
- ? Números de pasaporte o credencial
- ? Datos biométricos (huella, foto)
- ? Información bancaria o financiera
- ? Contraseñas o PINs
El gobierno francés intentó calmar los ánimos señalando que los números de documento y datos biométricos no fueron expuestos. Pero los expertos en seguridad apuntan a algo más preocupante: los datos robados son suficientes para lanzar ataques de phishing extremadamente convincentes contra millones de ciudadanos que no saben que su información ya está circulando en el mercado negro.
¿Cómo entró un adolescente a los sistemas del gobierno francés?
Los detalles técnicos exactos del método de ataque no han sido divulgados públicamente mientras la investigación continúa. Lo que sí se sabe es el patrón general: el joven encontró una vulnerabilidad en el portal de usuario de la ANTS —la plataforma web que los ciudadanos usan para tramitar sus documentos— y logró escalar privilegios hasta acceder a la base de datos subyacente.
No hacía falta ser un genio. No hacía falta un equipo de docenas de personas. No hacía falta tecnología militar ni inversión millonaria. Bastó con tiempo libre, curiosidad, y un sistema que no había sido auditado adecuadamente.
La democratización del hackeo
El caso de "breach3d" ilustra una tendencia alarmante: las herramientas para hackear son cada vez más accesibles. Foros especializados, tutoriales en YouTube, comunidades en Discord, y ahora incluso inteligencia artificial que ayuda a escribir código de ataque. La barrera de entrada para convertirse en un ciberdelincuente nunca ha sido tan baja. Un adolescente con conexión a internet puede —y a veces lo hace— superar los sistemas de seguridad de organismos gubernamentales.
Cronología: del hackeo al arresto en 10 días
Los sistemas de ANTS son comprometidos. La agencia detecta anomalías pero tarda días en confirmar la magnitud real del incidente.
El hacker publica un anuncio en foros criminales ofreciendo los datos robados. Incluye una muestra gratuita para demostrar que son auténticos. La comunidad de seguridad detecta el anuncio y alerta a las autoridades.
El gobierno francés confirma públicamente el incidente. Admite 11.7 millones de cuentas afectadas. El portal ANTS es desconectado dos días después mientras se realizan auditorías de emergencia.
La fiscalía de París detiene a un joven de 15 años vinculado a los alias "breach3d" y "ExtaseHunters". Enfrenta cargos por acceso no autorizado a sistemas informáticos y tráfico de datos personales. El daño, sin embargo, ya está hecho: los datos siguen circulando.
Arrestar al hacker no devuelve los datos
Esta es la realidad que muchas empresas y gobiernos no quieren aceptar: capturar al atacante no deshace el ataque. Los 19 millones de registros ya fueron descargados. Ya se distribuyeron en múltiples foros. Ya fueron adquiridos por compradores desconocidos en al menos cuatro continentes.
Para los ciudadanos franceses afectados, el riesgo no termina con el arresto del joven hacker. Comienza ahora. Sus datos —nombre, correo, teléfono, dirección— están en manos de quienes los compraron. Y esos datos serán usados para:
Phishing hiper-personalizado
Correos que mencionan tu nombre real, tu dirección, tu número de teléfono. Mucho más convincentes que los ataques genéricos.
Fraude de identidad
Abrir cuentas bancarias, solicitar créditos, registrar empresas usando los datos de otra persona.
Vishing y smishing
Llamadas y mensajes de texto que se hacen pasar por el banco, el gobierno o servicios de salud — con datos reales que generan confianza.
Credential stuffing
Combinar estos datos con contraseñas filtradas en otros brechas para acceder a cuentas bancarias y servicios online.
¿Qué tiene que ver esto con tu empresa en México?
Más de lo que parece. Francia tiene el ANTS. México tiene el SAT, el IMSS, el INE, el RENAPO. Bases de datos gubernamentales con decenas de millones de registros de ciudadanos que, si fueran comprometidas, tendrían consecuencias idénticas o peores.
Pero el riesgo inmediato para las empresas mexicanas está más cerca: tú probablemente almacenas datos de tus clientes y empleados. Copias de INE, RFC, CURP, IMSS. Correos, teléfonos, domicilios. Información que, en muchos casos, vive en bases de datos sin cifrar, en servidores compartidos, en carpetas de Google Drive con permisos abiertos.
Preguntas que deberías poder responder hoy:
¿Sabes exactamente qué datos personales de clientes o empleados tienes almacenados?
¿Esos datos están cifrados? ¿Saben acceder a ellos solo las personas que deben?
¿Tienes un plan documentado para actuar si mañana detectas un acceso no autorizado?
¿Cumples con la Ley Federal de Protección de Datos Personales (LFPDPPP)?
La lección más incómoda de este caso
Si un adolescente sin recursos ni organización detrás pudo comprometer la base de datos de identidad de un tercio de Francia — uno de los países con mayor inversión en infraestructura digital de Europa — la pregunta no es "¿podría pasarle a mi empresa?"
La pregunta correcta es: "¿Cuánto tiempo tardaríamos en darnos cuenta?"
La ANTS tardó una semana en confirmar el incidente. Para ese momento, los datos ya circulaban en el mercado negro. El tiempo de detección es, en la mayoría de los casos, el factor que determina si un incidente se convierte en catástrofe o en un susto controlado.
¿Cuánto tiempo tardarías tú en detectar una intrusión?
En ALMSTRA auditamos tus sistemas, identificamos dónde están tus datos más sensibles, y diseñamos los controles para que la respuesta sea horas — no semanas. Porque en ciberseguridad, la velocidad de detección lo es todo.
Etiquetas
Sobre el autor
Benjamin Enrique Almada Estrada
Director General — ALMSTRA
ALMSTRA es una empresa mexicana de ciberseguridad y soporte TI con base en Hermosillo, Sonora. Acompañamos a PyMEs y medianas empresas con operación 24/7, respuesta a incidentes y cumplimiento LFPDPPP.
¿Tu empresa necesita auditar esto?
Te ofrecemos un diagnóstico gratuito de 45 minutos — evaluamos tu exposición actual y te entregamos un plan priorizado sin compromiso.