Un actor de amenaza identificado como Skull1172, perteneciente al grupo EsqueleSquad TEAM, publicó el 6 de mayo de 2026 en un foro de ciberdelincuencia el anuncio de una filtración masiva de datos que afectaría a más de 900 dominios gubernamentales, universitarios y mediáticos de la República Argentina. El incidente, cuyo estado permanece bajo investigación, representa una de las alertas de ciberseguridad más graves registradas contra la infraestructura digital del país, y confirma advertencias que desde Gordos Defensa venimos realizando desde hace mes
Un patrón que no debería sorprender
El incidente no llega de manera inesperada. Argentina arrastra un historial documentado de brechas contra su infraestructura digital: la filtración del RENAPER en 2021, el ransomware contra el PAMI en 2023, el ataque a la CNEA en 2024 y el compromiso de cuentas en Mi Argentina en 2025 conforman un patrón de exposición sistémica. A eso se suman las brechas doctrinarias y legales que dificultan una respuesta coordinada: la separación entre defensa, seguridad interior e inteligencia, concebida antes de que el ciberespacio se consolidara como dominio estratégico, genera zonas grises que los actores maliciosos explotan con precisión creciente.
Lo que EsqueleSquad TEAM anuncia hoy no es una novedad en términos de vulnerabilidad. Es la consecuencia de años de advertencias no atendidas.
Qué se filtró y cuánto
Según la publicación del actor, las intrusiones se llevaron a cabo entre 2024 y 2026 y culminaron en una base de datos consolidada que supera los 80 millones de registros. El volumen amenazado de liberación pública supera los 50 GB, condicionado a que la publicación reciba suficiente respaldo en el foro donde fue anunciada.
El tipo de información comprometida es de alto valor e impacto directo sobre la ciudadanía: números de teléfono, DNI y CUIL, direcciones de correo electrónico, contraseñas y patentes vehiculares. A esto se suman 154.654 conversaciones de webmail corporativo comprometidas, lo que implica una exposición potencial de comunicaciones internas de organismos del Estado.
Los organismos afectados
La lista de infraestructura comprometida abarca tres sectores críticos.
En el ámbito gubernamental, los dominios más sensibles incluyen el sistema de autenticación del ARCA (ex AFIP) con 11,8 millones de registros reclamados, los servicios corporativos de ANSES, el sistema de identidad digital Mi Argentina, el sistema de Gestión Documental Electrónica (GDE), la tarjeta SUBE y el programa de Becas Progresar con 650.000 registros asociados. A nivel subnacional, portales de la Ciudad de Buenos Aires como el login del gobierno porteño, MiBA y AGIP también figuran entre los afectados, junto a plataformas provinciales como la de Chaco.
En el sector universitario, el actor denuncia la compromisión sistémica de portales de autogestión académica en más de una docena de universidades nacionales y privadas, entre ellas UNER, UNTREF, UNVM, UNLAM y USAL.
En el sector mediático, el grupo afirma haber accedido a los paneles de administración, métricas y servidores FTP del canal de noticias Crónica. Lo más grave de esta parte del anuncio es la afirmación de que la información obtenida incluiría datos sobre la recepción de fondos públicos por parte del medio, junto a información de sus empleados.
Por qué es relevante más allá del volumen
El impacto de esta filtración no se mide únicamente en cantidad de registros. Los sistemas afectados constituyen la columna vertebral de la identidad digital del Estado argentino. El GDE gestiona la documentación oficial de toda la administración pública nacional. AFIP y ANSES concentran datos fiscales y previsionales de la totalidad de los contribuyentes y beneficiarios del sistema. Mi Argentina es el nodo central de autenticación ciudadana para decenas de trámites digitales. Una exposición real y verificada de estas credenciales abriría la puerta a suplantaciones de identidad, fraudes fiscales y accesos no autorizados a sistemas sensibles a escala masiva.
Como señalábamos en nuestro análisis de abril, los sistemas de autenticación centralizados son precisamente el objetivo más codiciado por actores con capacidades avanzadas: su control permite escalar privilegios, moverse lateralmente dentro de la red y comprometer múltiples organismos desde un único punto de entrada. Lo que EsqueleSquad TEAM reclama haber hecho es exactamente eso.
El contexto regional
El timing del anuncio también es significativo. Apenas días antes, Chile activó una alerta similar a través de su Agencia Nacional de Ciberseguridad (ANCI), que informó estar investigando presunta actividad maliciosa contra operadores de telecomunicaciones y servicios públicos. Que dos países del Cono Sur enfrenten alertas de esta naturaleza en el mismo período sugiere un patrón de actividad coordinada o al menos oportunista contra infraestructura estatal latinoamericana que merece seguimiento conjunto a nivel regional.
Brasil, que cuenta con la arquitectura de ciberdefensa más desarrollada de la región según nuestro análisis comparativo de marzo, y Chile, que ha consolidado un marco institucional relativamente sólido con la creación de la ANCI, muestran que la diferencia entre estar preparado y no estarlo no es una cuestión de recursos solamente, sino de decisión política sostenida en el tiempo.
La brecha entre digitalización y protección que describíamos en nuestros análisis anteriores sigue sin cerrarse. El estado del incidente permanece bajo investigación. Gordos Defensa continuará monitoreando la situación e informando ante cualquier novedad relevante.
