La brecha de datos que afecta al Centro de Registros de Lituania es uno de los ciberataques estatales más graves de la historia europea. Piratas informáticos — sospechosos de actuar en nombre de un Estado hostil — robaron registros de aproximadamente 600.000 ciudadanos lituanos, equivalentes a casi una quinta parte de la población total. La brecha salió a la luz entre el 25 y el 27 de mayo de 2026, exponiendo nombres, códigos de identificación personal, fechas de nacimiento y datos de propiedad inmobiliaria, y podría haber comprometido las direcciones de personal de inteligencia y fuerzas del orden.
Brecha de datos en Lituania: qué fue robado del Centro de Registros
El Centro de Registros (Registrų centras) es una empresa estatal que mantiene las bases de datos civiles y de propiedad esenciales de Lituania. Almacena información jurídicamente sensible sobre prácticamente todos los ciudadanos adultos: números de identificación personal (asmens kodas), historial de propiedad, direcciones y datos biográficos. Los atacantes extrajeron registros de aproximadamente 600.000 personas — alrededor del 20% de la población lituana de 2,9 millones — en lo que los investigadores consideran una operación coordinada y patrocinada por un Estado.
El aspecto más alarmante es la posible exposición de datos personales de miembros del Departamento de Seguridad del Estado (VSD), la policía y la inteligencia militar. Las autoridades advirtieron que el conjunto de datos robado probablemente incluye direcciones personales y códigos de identificación de personas en puestos de seguridad sensibles, creando riesgos que van mucho más allá del robo de identidad ordinario.
Cómo fue posible el ataque: sin autenticación de dos factores
El análisis forense inicial apuntó a un fallo de seguridad fundamental: las cuentas de los empleados del Centro de Registros carecían de autenticación de dos factores. Los investigadores creen que los atacantes utilizaron credenciales comprometidas — probablemente obtenidas mediante phishing o relleno de credenciales — para acceder directamente a las bases de datos de producción. La ausencia de 2FA significaba que no había ninguna barrera secundaria para detener la intrusión una vez obtenidos los datos de acceso.
El ataque destaca una vulnerabilidad recurrente en la infraestructura informática gubernamental: la dependencia de la autenticación por nombre de usuario y contraseña para sistemas que albergan los datos civiles más sensibles. Investigadores de seguridad señalaron que el 2FA obligatorio para todas las cuentas privilegiadas podría haber prevenido o retrasado significativamente la brecha.
El presidente de Lituania culpa a Estados hostiles
El presidente lituanio Gitanas Nauseda atribuyó públicamente el ataque a un «Estado hostil», un término que en el contexto báltico se entiende ampliamente como una referencia a Rusia. Lituania es uno de los críticos más firmes del Kremlin en la UE y la OTAN, y sus instituciones estatales han sufrido operaciones cibernéticas persistentes durante años. La declaración del presidente fue inusualmente directa para un jefe de Estado en ejercicio, reflejando la gravedad de la brecha y sus posibles implicaciones para la seguridad nacional.
El director Adrijus Jusas dimitió bajo presión de la Primera Ministra y del Ministro de Economía. Las autoridades lituanas abrieron una investigación penal, con la coordinación de fiscales y el Departamento de Seguridad del Estado. El gobierno anunció una auditoría exhaustiva de la implementación del 2FA en todas las instituciones estatales.
Por qué esta brecha es diferente a las fugas de datos típicas
La mayoría de las brechas de datos a gran escala atacan entidades comerciales con fines financieros. El caso lituanio es estructuralmente diferente. El Centro de Registros contiene datos autoritativos, legalmente verificados, que los ciudadanos no pueden modificar. Un ciudadano no puede simplemente «cambiar su código personal» como restablecería una contraseña filtrada. Los números de identificación y fechas de nacimiento robados permanecen válidos y utilizables para solicitudes fraudulentas de documentos, ingeniería social y acoso dirigido de forma indefinida.
La posible inclusión de las direcciones del personal de seguridad introduce una dimensión de riesgo físico: adversarios estatales con registros detallados de las direcciones de oficiales de inteligencia pueden usar esos datos para vigilancia, chantaje o algo peor. Casos como este ilustran por qué los investigadores de seguridad recomiendan cada vez más el uso de VPNs para proteger la información personal en línea.
