Clientes de Ifood reciben pésima noticia: filtración expone datos de 1,2 millones de usuarios, incluyendo CPF, teléfono y dirección; falla investigada habría operado durante meses y sospechas que involucran hasta 43,8 millones de registros amplían la preocupación.

Confirmación de iFood sobre filtración reaviva alerta entre clientes, mientras la sospecha de una base mucho mayor sigue sin comprobación independiente y aumenta la atención sobre CPF, teléfono, dirección e intentos de fraude con datos personales expuestos.

iFood confirmó que una filtración de datos afectó a cerca de 1,2 millones de usuarios, número equivalente a aproximadamente el 2% de su base de clientes, tras la circulación de muestras atribuidas a criminales en foros en línea.

Según la empresa, el episodio involucró datos de registro, como nombre y CPF, sin compromiso de contraseñas, medios de pago o registros financieros.

La confirmación ocurrió después de una investigación de TecMundo, que recibió archivos presentados como evidencias del incidente y envió el material a la plataforma.

El caso ganó fuerza después de que un usuario identificado como “bacen” afirmara, el 28 de mayo de 2026, que tendría acceso a datos de 43,8 millones de clientes de la aplicación, número que no ha sido comprobado de forma independiente hasta ahora.

Según iFood, el material analizado estaría ligado a un incidente interno ocurrido en diciembre de 2025, clasificado por la empresa como aislado y rápidamente neutralizado por sus protocolos de seguridad.

En una nota divulgada a la prensa, la compañía afirmó no haber encontrado evidencias de que 43 millones de registros hayan sido expuestos.

La situación, sin embargo, todavía levanta preocupación porque las muestras atribuidas a la filtración incluyen información suficiente para facilitar intentos de fraude, como nombre completo, CPF, teléfono y dirección.

Aunque estos datos no son financieros, pueden ser utilizados en estafas de ingeniería social, especialmente cuando se combinan con información ya disponible en otras filtraciones.

iFood confirma filtración de datos de clientes

La empresa sostiene que el episodio confirmado afectó solo a una fracción de la base de clientes y no involucró contraseñas, tarjetas, datos bancarios o registros financieros de transacciones realizadas en la plataforma.

iFood también informó que siguió los procedimientos previstos en la legislación brasileña de protección de datos.

La Autoridad Nacional de Protección de Datos, según Folha de S.Paulo, notificó a iFood para que la compañía proporcionara la información necesaria sobre el caso.

La actuación de la ANPD es relevante porque la Ley General de Protección de Datos prevé deberes de comunicación, mitigación de riesgos y adopción de medidas de seguridad en incidentes que involucren datos personales.

La posición oficial contrasta con la versión atribuida a los agentes de amenaza, que afirman que se trata de una filtración más amplia y reciente.

Hasta el momento, sin embargo, no hay comprobación pública independiente de que la base citada por los criminales, con decenas de millones de registros, exista en la dimensión alegada.

Archivos analizados apuntan posible falla en sistema de apoyo

De acuerdo con la investigación publicada por TecMundo, los archivos enviados a la redacción tenían estructura estandarizada e indicaban un posible acceso indebido a un sistema de apoyo relacionado con iFood.

Los documentos analizados incluían registros de usuarios administrativos e información vinculada a órganos públicos, lo que reforzó la necesidad de verificación técnica del material.

Uno de los criminales, identificado como Harold Baker, afirmó que la falla explotada sería del tipo IDOR, sigla en inglés para Referencia Directa Insegura a Objetos.

Este tipo de vulnerabilidad ocurre cuando un sistema permite acceso a información sin verificar correctamente si el usuario tiene autorización para consultar ese contenido.

En la práctica, una falla de este tipo puede permitir que una persona autenticada acceda a datos de terceros al manipular identificadores internos, si el sistema no realiza la validación adecuada de permiso.

La descripción presentada por los criminales, sin embargo, no confirma por sí sola la extensión del incidente ni sustituye una investigación técnica completa.

Aún según el relato atribuido al agente de amenaza, la explotación habría ocurrido durante aproximadamente tres meses y habría partido del acceso a una cuenta comprometida ligada a una autoridad policial.

Esta alegación no ha sido comprobada públicamente de manera independiente, y el propio TecMundo informó que no recibió evidencias suficientes para confirmar todos los números citados por los criminales.

CPF, teléfono y dirección elevan riesgo de fraudes

Datos de registro no tienen el mismo encuadramiento jurídico de datos sensibles, pero aún representan un riesgo relevante para los titulares cuando se exponen en conjunto.

Según la LGPD, dato personal es cualquier información relacionada con una persona natural identificada o identificable, mientras que datos sensibles involucran origen racial o étnico, convicción religiosa, opinión política, salud, vida sexual, genética o biometría.

En el caso atribuido a iFood, la información descrita hasta ahora se clasifica como datos personales, no como datos sensibles.

Aun así, nombre completo, CPF, teléfono y dirección pueden permitir acercamientos falsos más convincentes, principalmente en llamadas, mensajes por aplicaciones o intentos de actualización de registro fraudulentos.

Un estafador que tenga acceso a estos datos puede hacerse pasar por empleado de una empresa, citar información real para ganar confianza e intentar obtener códigos, contraseñas u otros detalles que no aparecieron en la filtración.

Por eso, la ausencia de datos financieros no elimina el riesgo para los usuarios afectados.

La exposición también puede facilitar el cruce con bases antiguas ya filtradas en otros incidentes.

Cuando se combinan informaciones de diferentes fuentes, los criminales pueden crear perfiles más completos de las víctimas, lo que aumenta la posibilidad de fraudes dirigidos y dificulta la identificación inmediata del origen del problema.

Sospecha de 43,8 millones de registros sigue sin comprobación

La principal divergencia del caso está en el tamaño de la exposición.

iFood reconoce cerca de 1,2 millones de usuarios afectados, mientras que los criminales afirman que el volumen podría llegar a 43,8 millones de registros.

La diferencia es significativa y, hasta ahora, no hay evidencia pública que confirme el número mayor.

TecMundo informó que las primeras muestras divulgadas eran pequeñas y no tenían metadatos suficientes para indicar la fecha de la filtración o medir su extensión.

Después, nuevos archivos enviados a la redacción presentaron una estructura más consistente, pero aún no permitieron comprobar de forma independiente la cantidad total de usuarios afectados.

En la publicación inicial, el usuario “bacen” habría establecido el 10 de junio de 2026 como plazo para negociaciones con iFood.

Este tipo de plazo es común en intentos de extorsión digital, en los cuales los criminales presionan a las empresas a pagar para impedir la divulgación o venta de datos obtenidos ilegalmente.

Hasta la última actualización pública localizada, no había confirmación de acuerdo entre las partes ni valor de rescate divulgado.

Tampoco había prueba de que una base completa con 43,8 millones de usuarios hubiera sido publicada íntegramente, además de las muestras mencionadas en los reportajes sobre el caso.

Para los clientes, la recomendación práctica es desconfiar de contactos que citen datos personales para pedir contraseñas, códigos enviados por SMS, confirmaciones bancarias o actualizaciones urgentes de registro.

Las empresas legítimas no deben solicitar este tipo de información por teléfono o mensaje sin autenticación segura.

El caso sigue en investigación y depende de nuevos elementos técnicos para aclarar si hubo solo el incidente reconocido por la empresa o si existe una segunda base, como alegan los delincuentes.

Por ahora, el dato confirmado es la filtración de aproximadamente 1,2 millones de usuarios, mientras que la sospecha que involucra 43,8 millones de registros permanece sin comprobación independiente.

Suscribir

Ingresa con

Para entrar

Acepto crear mi cuenta.

Cuando inicies sesión por primera vez mediante un botón de inicio de sesión social, recopilamos información pública de tu perfil, compartida por el proveedor de inicio de sesión social, según tu configuración de privacidad. También obtenemos tu dirección de correo electrónico para crear automáticamente una cuenta en nuestro sitio web. Una vez creada tu cuenta, accederás a ella automáticamente.

No estoy de acuerdo.Estoy de acuerdo

Notificar de

nuevos comentarios de seguimiento Nuevas respuestas a mis comentarios

Label

Nombre*

Correo electrónico*

Guarda mis datos para la próxima vez que comente.

Guarda mi nombre, correo electrónico y sitio web en las cookies de este navegador para la próxima vez que comente.

ONESIGNAL ID

ONESIGNAL ID

Acepto crear mi cuenta.

Cuando inicies sesión por primera vez mediante un botón de inicio de sesión social, recopilamos información pública de tu perfil, compartida por el proveedor de inicio de sesión social, según tu configuración de privacidad. También obtenemos tu dirección de correo electrónico para crear automáticamente una cuenta en nuestro sitio web. Una vez creada tu cuenta, accederás a ella automáticamente.

No estoy de acuerdo.Estoy de acuerdo

Label

Nombre*

Correo electrónico*

Guarda mis datos para la próxima vez que comente.

Guarda mi nombre, correo electrónico y sitio web en las cookies de este navegador para la próxima vez que comente.

ONESIGNAL ID

ONESIGNAL ID

0 Comentarios

Más reciente

Más viejo Más votado