- La filtración se originó en el robo de credenciales de un trabajador, no en un hackeo directo a ClaveÚnica.
- Gobierno Digital y la ANCI aseguran que no hay evidencia de vulneración ni fuga de la base de datos de ClaveÚnica.
- Expertos recomiendan cambiar la contraseña con frecuencia y no reutilizarla en otros servicios.
- Herramientas oficiales y buenas prácticas ayudan a detectar posibles filtraciones y reforzar la seguridad.
Un presunto ciberataque contra sistemas públicos y empresas de telecomunicaciones desató una oleada de dudas sobre una posible filtración de datos vinculada a la ClaveÚnica, la credencial digital que usan millones de personas para identificarse frente al Estado. La noticia corrió como la pólvora en redes sociales, y muchos usuarios optaron por cambiar su contraseña de manera preventiva ante el temor de que sus datos personales hubieran quedado expuestos.
Sin embargo, a medida que avanzó el análisis técnico, tanto el Gobierno Digital como la Agencia Nacional de Ciberseguridad (ANCI) han insistido en que no hay pruebas de que la base de datos ni la infraestructura de ClaveÚnica hayan sido comprometidas. Lo que sí se ha confirmado es un incidente concreto: el robo de usuario y clave de un funcionario de una institución pública, que permitió accesos indebidos hasta que se detectó y bloqueó la actividad.
Qué se sabe del incidente y por qué se habló de filtración de la ClaveÚnica
La alerta inicial saltó cuando la empresa de ciberseguridad Vecert Analyzer reportó una posible vulneración de bases de datos de compañías de telecomunicaciones y organismos públicos, entre ellos el Registro Civil e Identificación y la Tesorería General de la República (TGR). En foros y canales especializados se mencionó incluso la eventual exposición de sistemas de identidad ciudadana y accesos administrativos.
Según estos reportes, un actor identificado como «rutify» habría difundido evidencias de datos personales en grupos de Telegram y otros espacios digitales. Entre la información supuestamente filtrada se barajaban nombres, RUT, direcciones e incluso antecedentes médicos, algo que encendió todas las alarmas por el posible uso indebido para fraudes, extorsiones o suplantación de identidad.
En paralelo, comenzaron a circular versiones que vinculaban directamente esta actividad con una filtración de la ClaveÚnica. El salto entre una vulneración en determinados sistemas y la idea de un hackeo masivo al sistema de autenticación estatal se produjo sobre todo en redes sociales y medios, antes de que hubiera confirmaciones técnicas sólidas.
Frente al ruido mediático, la directora nacional (s) de la Agencia Nacional de Ciberseguridad, Michelle Bordachar, precisó que el caso detectado no corresponde a un ataque directo a la plataforma de ClaveÚnica. Lo que se habría producido es el robo de las credenciales de un trabajador público, con las que terceros se hicieron pasar por él para acceder a sistemas de la institución afectada hasta que se cortó el acceso.
Bordachar explicó que, una vez identificada la actividad irregular, se cerraron todos los accesos y cesó la filtración de información. Es decir, el incidente se focaliza en una cuenta concreta de empleado y no en una brecha estructural del sistema de autenticación ciudadana usado de forma masiva.
Postura oficial: ClaveÚnica sigue operativa y sin evidencia de fuga de datos
Ante la inquietud ciudadana, la Secretaría de Gobierno Digital del Ministerio de Hacienda, organismo responsable de la plataforma de identidad digital, difundió varios comunicados en los que recalca que no existe evidencia de un incidente de ciberseguridad que haya afectado la infraestructura ni la base de datos de ClaveÚnica en relación con estos reportes.
El Gobierno Digital subraya que la ClaveÚnica se mantiene 100% operativa, segura y funcionando con normalidad para todos los trámites y servicios en línea que exigen autenticación. Según la entidad, el sistema de autenticación cuenta con altos estándares de seguridad, protocolos de monitoreo continuo y acciones constantes de supervisión coordinadas con la ANCI.
Esta línea se repite en distintas declaraciones: se insiste en que los sistemas críticos del Estado no muestran afectación confirmada y que las medidas implementadas permiten detectar anomalías y reaccionar de forma rápida. El objetivo principal de estos mensajes es dar tranquilidad a la ciudadanía sin minimizar la importancia del análisis técnico en curso.
Aun con estos desmentidos, la ANCI mantiene una investigación abierta sobre la «presunta actividad maliciosa» que afectaría a organismos estatales y operadores de telecomunicaciones. El organismo reconoce que analiza fuentes de inteligencia en ciberseguridad pero aclara que, hasta la fecha, no ha sido posible corroborar la autenticidad ni el alcance total de los datos que han circulado.
Qué es la ClaveÚnica y por qué genera tanta preocupación
La preocupación social no es casual: la ClaveÚnica funciona como la identidad digital oficial de las personas frente al Estado. Se trata de una contraseña unificada que permite a cualquier ciudadano mayor de 14 años, con documento de identidad chileno vigente, acceder a un amplio abanico de servicios y beneficios públicos en línea.
Creada alrededor de 2010 como parte del impulso hacia una «oficina sin papeles» y la administración electrónica, la ClaveÚnica permite realizar más de un millar de trámites distintos. Con ella se accede, por ejemplo, a solicitudes de certificados, postulaciones a bonos, consultas de historial de salud público, gestiones con el Servicio de Impuestos Internos o firmas electrónicas de documentos del Registro Civil.
Expertos en ciberseguridad y desarrollo seguro, como Lilio Tapia Zagal, suelen resumir la relevancia de esta credencial con una metáfora clara: es una sola llave que abre múltiples puertas sensibles. No es una contraseña cualquiera, sino la puerta de entrada digital a información económica, sanitaria y administrativa de alto valor.
Obtener la ClaveÚnica es un trámite gratuito y de duración indefinida, aunque se recomienda mantener los datos personales siempre actualizados. Se puede conseguir mediante videoconferencia en la web del Registro Civil o de forma presencial en oficinas del propio Registro Civil o de ChileAtiende. En ambos casos se verifica la identidad con el documento de identidad, se toma una fotografía del rostro y se comprueban o modifican datos de contacto como correo electrónico, dirección o teléfono.
Este carácter central hace que cualquier rumor sobre una posible filtración se perciba como una amenaza directa a la privacidad y a la seguridad económica de la ciudadanía. Aunque las autoridades insisten en que no hay pruebas de fuga en la plataforma, la sola posibilidad de abuso de credenciales genera inquietud y anima a muchos usuarios a tomar medidas preventivas por su cuenta.
¿Es segura la ClaveÚnica? Lo que dicen autoridades y especialistas
La gran pregunta que se hacen muchos ciudadanos es si la ClaveÚnica, en sí misma, es segura. La respuesta de las autoridades y de múltiples expertos coincide: la herramienta es robusta, pero su seguridad depende en gran parte del uso que hagan de ella las propias personas, de forma muy parecida a lo que ocurre con las claves bancarias.
Desde el Gobierno Digital subrayan que el sistema de autenticación oficial se gestiona con altos estándares de seguridad y monitoreo continuo. Además, se trabaja en coordinación permanente con la ANCI para reforzar controles, supervisar accesos y desplegar medidas de protección adicionales cuando se detecta actividad sospechosa.
Especialistas en ciberseguridad insisten en que la mayor vulnerabilidad suele radicar en el robo o mal uso de credenciales individuales más que en fallos estructurales de los sistemas. El caso del trabajador al que le sustrajeron su usuario y contraseña va en esta línea: un atacante que obtiene datos de acceso válidos puede entrar en un sistema sin necesidad de explotar una brecha técnica compleja.
Por eso, se recalca que la ClaveÚnica debe tratarse con el mismo cuidado que una clave de tarjeta bancaria. No se debe compartir con terceros, ni reenviar por mensajería, ni introducirla en páginas que no sean las oficiales. Una contraseña robusta, única y bien gestionada reduce de forma drástica las posibilidades de sufrir un fraude o una suplantación de identidad.
En ese contexto, voces como la de Luis Carlos Tapia, jefe disciplinar de Informática y Programación del IACC, aportan una idea clave: el sistema puede ser muy sólido, pero si la misma contraseña se reutiliza en múltiples servicios —algunos de ellos con niveles de seguridad más bajos—, cualquier filtración en otra plataforma puede terminar afectando a la ClaveÚnica. Las filtraciones de contraseñas de grandes volúmenes son un buen ejemplo de por qué no conviene reutilizar claves.
Cómo saber si tus datos se han visto afectados
Ante la avalancha de información y rumores, muchos ciudadanos se preguntan: ¿mis datos se han filtrado realmente? Aunque en este caso concreto las autoridades no han confirmado una fuga masiva asociada a ClaveÚnica, sí existen una serie de señales y herramientas que ayudan a detectar posibles problemas.
En primer lugar, conviene estar atento a comportamientos inusuales en cuentas y servicios digitales: correos o mensajes que no esperábamos, intentos de recuperación de contraseña que no hemos iniciado, notificaciones de accesos desconocidos o trámites administrativos que aparecen como realizados sin que los reconozcamos.
Si se detecta algo extraño, es recomendable no actuar desde enlaces recibidos por correo o mensajería, sino acceder a los servicios implicados escribiendo directamente la dirección web oficial en el navegador. De este modo se evita caer en páginas de phishing diseñadas para robar contraseñas simulando ser portales legítimos.
Además, la Agencia Nacional de Ciberseguridad ha puesto a disposición de la ciudadanía herramientas específicas para comprobar si determinadas cuentas de correo han estado involucradas en filtraciones desde mediados de 2025. A través de la plataforma Ciberlupa, disponible en el sitio oficial de la ANCI, se puede introducir un email y ver si aparece en registros de incidentes conocidos; también existen guías para borrar tus datos personales si han quedado expuestos.
En caso de que la herramienta muestre coincidencias, se aconseja verificar si las cuentas asociadas siguen activas y si se usan para servicios críticos, como la banca en línea. Si es así, es prioritario cambiar las contraseñas de inmediato, revisar los datos de seguridad (preguntas de recuperación, números de teléfono vinculados, correos alternativos) y valorar la activación de métodos de autenticación multifactor.
Pasos recomendados si sospechas de una filtración o uso indebido
Incluso cuando no existe confirmación de una filtración masiva de la ClaveÚnica, las autoridades y expertos recomiendan adoptar medidas preventivas sencillas pero eficaces. Muchas de ellas ayudan a reducir riesgos no solo en este caso concreto, sino en el conjunto de la vida digital cotidiana.
La primera recomendación es cambiar la contraseña de ClaveÚnica si hace uno o dos años que no se actualiza, especialmente si se sospecha que la misma combinación de claves se utiliza en otros servicios (redes sociales, correo, banca, tiendas en línea, etc.). El riesgo de reutilizar contraseñas es alto: basta con que una de esas plataformas resulte comprometida para que un atacante pruebe las mismas credenciales en otros sistemas.
El proceso de cambio de clave se realiza entrando directamente en el portal oficial (claveunica.gob.cl), accediendo a la sección «Mi perfil» y seleccionando la opción «Contraseña ClaveÚnica». Desde ahí, solo hay que seguir las instrucciones para crear una nueva clave que cumpla los requisitos de seguridad (longitud mínima, mayúsculas, números y símbolos).
Si la persona ha olvidado su contraseña pero conserva acceso al correo electrónico asociado, puede recuperarla de forma online a través del mismo portal. En ese caso, se ingresa el RUT, se elige si se desea recibir un código por email o SMS, se introduce dicho código y, a continuación, se establece una nueva contraseña. Es un trámite que, en la práctica, suele resolverse en unos pocos minutos.
Cuando ya no se tiene acceso al correo registrado o hay dudas sobre la integridad de la cuenta de email, la recuperación exige solicitar un código de activación en el Registro Civil, bien presencialmente en una oficina o mediante videollamada. En ambos supuestos es obligatorio contar con la cédula de identidad vigente para acreditar la identidad de la persona.
Buenas prácticas para proteger la ClaveÚnica y otros datos personales
Más allá de este incidente, las autoridades de ciberseguridad insisten en la necesidad de cambiar ciertos hábitos digitales para reducir la exposición a fraudes y suplantaciones. La ClaveÚnica, por su impacto, merece un cuidado especial, pero los principios son aplicables al conjunto de la actividad en Internet.
Una de las claves es no compartir nunca la contraseña con terceros, ni siquiera con familiares o amigos, y evitar anotarla en lugares fácilmente accesibles, como notas en el móvil sin protección, correos sin cifrar o papeles en el escritorio. Cualquier filtración física o digital de esa información puede tener consecuencias importantes.
Otra recomendación constante es evitar acceder a la ClaveÚnica a través de enlaces recibidos por WhatsApp, SMS o correos electrónicos. En su lugar, se aconseja escribir manualmente la dirección del sitio oficial en el navegador o utilizar aplicaciones oficiales verificadas. De este modo se minimiza la probabilidad de caer en sitios falsos controlados por delincuentes.
También se sugiere utilizar contraseñas distintas para cada servicio relevante y activar, siempre que sea posible, sistemas de autenticación multifactor (MFA). Este tipo de mecanismos añade una capa extra de seguridad (por ejemplo, un código temporal enviado al móvil o generado en una app) que dificulta enormemente el acceso de un atacante aunque haya logrado obtener la contraseña principal.
Para quienes tienen dificultades a la hora de inventar contraseñas robustas, la propia ANCI ofrece un generador de contraseñas basado en palabras aleatorias, pensado para aumentar la seguridad sin obligar a memorizar cadenas de caracteres completamente abstractas. Los gestores de contraseñas también pueden ser de gran ayuda para administrar de forma segura diferentes claves.
Papel de la inteligencia artificial y responsabilidad de las instituciones
En este debate sobre la filtración de datos de la ClaveÚnica también surge la cuestión de si la inteligencia artificial incrementa el riesgo para la ciudadanía. La respuesta de los especialistas es matizada: la IA no es peligrosa en sí misma, pero sí puede ser utilizada por delincuentes para perfeccionar sus engaños.
Gracias a herramientas automáticas, es posible generar correos, mensajes y páginas fraudulentas mucho más creíbles, adaptados al lenguaje, estilo y contexto de la potencial víctima. Esto hace que el phishing sea cada vez más difícil de detectar a simple vista, incluso para personas con cierta experiencia en Internet.
Por ello, se insiste en la importancia de no proporcionar claves, RUT, copias de documentos de identidad ni otra información sensible en plataformas no verificadas. Si un mensaje solicita datos de este tipo, lo mejor es comprobar la petición a través de canales oficiales o contactar directamente con la institución supuestamente emisora.
En cuanto a la responsabilidad si se vulneran datos personales, la normativa y las prácticas de protección apuntan a que la institución, empresa o servicio que administra la información tiene la obligación principal de resguardarla. En caso de incidente, debe analizar qué ha ocurrido, comunicarlo y adoptar las medidas correctivas necesarias; esto incluye situaciones en que la filtración proviene de un proveedor externo, como ocurrió en casos donde un proveedor global comprometió datos asociados a un servicio.
Para la persona afectada, en cambio, los pasos recomendados pasan por reunir toda la evidencia posible, cambiar contraseñas comprometidas y presentar las denuncias correspondientes ante las autoridades competentes. Este proceso puede ser clave para frenar el daño, recuperar el control de cuentas y, llegado el caso, exigir responsabilidades legales.
El episodio de la presunta filtración de datos de la ClaveÚnica ha dejado claro hasta qué punto la identidad digital se ha vuelto un elemento central en la relación con el Estado y en la vida diaria. Aunque, por ahora, las investigaciones oficiales no han detectado una vulneración directa de la plataforma ni una fuga masiva de su base de datos, el caso ha servido para visibilizar la importancia de las credenciales, la necesidad de no reutilizar contraseñas y la conveniencia de apoyarse en herramientas oficiales de verificación. En un escenario en el que los ataques informáticos, el ruido en redes y el uso malicioso de tecnologías como la inteligencia artificial van al alza, la combinación de sistemas robustos, supervisión institucional y buenas prácticas por parte de cada usuario se convierte en la mejor defensa para mantener a salvo la información personal.
