Principales conclusiones
- El reciente ciberataque contra la ANTS dejó expuestos los datos personales de cerca de 12 millones de ciudadanos franceses.
- Europa está a la vanguardia de la regulación sobre ciberseguridad, pero la implantación de DMARC con política de rechazo (reject) sigue siendo desigual en las administraciones públicas.
- Esa carencia puede dejar a los dominios gubernamentales vulnerables a intentos de suplantación de identidad a través de los mismos canales de correo electrónico utilizados para las notificaciones posteriores a una violación de seguridad.
La Agence Nationale des Titres Sécurisés (ANTS), conocida desde 2024 como France Titres, es el organismo público encargado de expedir y gestionar los principales documentos de identidad del país, entre ellos los pasaportes, los documentos nacionales de identidad y los permisos de conducir.
La ANTS fue objeto de un ataque reciente, que se detectó el 15 de abril de 2026. Según informaciones publicadas en la prensa, el incidente podría afectar a cerca de 12 millones de ciudadanos y haber expuesto datos personales como nombres, direcciones de correo electrónico y fechas de nacimiento, procedentes tanto de cuentas particulares como profesionales.
Desde entonces, la situación ha evolucionado rápidamente. Al parecer, el presunto atacante ha sido identificado y detenido. Como medida de precaución, el portal de ANTS permaneció temporalmente fuera de servicio y volvió a estar operativo tras la implementación de mejoras de seguridad. El Primer Ministro francés anunció recientemente un plan nacional para fortalecer la resiliencia en ciberseguridad en todos los servicios públicos.
La respuesta inicial fue rápida, controlada y acorde con las buenas prácticas de comunicación de crisis, ya que la divulgación pública del incidente se produjo cinco días después de su detección. Irónicamente, la ANTS notificó a los afectados mediante correos electrónicos sin autenticación.
Los correos electrónicos de notificación enviados tras el incidente parecían proceder de la dirección no-reply[@]comm.ants.gouv.fr. El análisis DNS público de ants.gouv.fr en el momento de la publicación mostró un registro DMARC en modo de supervisión: v=DMARC1; p=none; adkim=r; aspf=r; sp=none.
En otras palabras, las notificaciones se enviaron a través del mismo canal que un atacante podría utilizar para explotar precisamente los datos que se habían visto comprometidos.
De la fuga de datos a las campañas de phishing: una cadena predecible
En el panorama actual de las amenazas, una fuga de datos rara vez constituye el objetivo final. Lo más habitual es que sea el punto de partida de ataques posteriores que pueden propagarse rápidamente a gran escala. En el caso de ANTS, las propias autoridades advirtieron a los usuarios de que permanecieran alerta ante mensajes sospechosos, incluidos correos electrónicos que suplantaban la identidad del organismo.
Esto refleja un patrón bien conocido:
- Los datos robados facilitan la selección de objetivos.
- Los datos personales hacen que el señuelo resulte más creíble.
- Los atacantes se hacen pasar por instituciones de confianza.
- El correo electrónico sirve de vehículo para el ataque.
Las investigaciones de Proofpoint muestran de forma consistente que el correo electrónico sigue siendo el principal vector de amenaza y una de las vías de entrada más utilizadas en los ciberataques.
En incidentes como el ciberataque contra la ANTS, los atacantes no necesitan hacer conjeturas. Ya disponen de:
- Identidades verificadas
- Pertinencia contextual
- Una institución de confianza para suplantar
El éxito de esos ataques depende de lo convincentes que resulten los correos electrónicos enviados posteriormente.
En gran parte de Europa, estos correos electrónicos pueden ser bastante difíciles de identificar. Esto se debe a que las comunicaciones de los organismos públicos suelen ser, por naturaleza, fáciles de falsificar. Mientras que países como Dinamarca y el Reino Unido han avanzado hacia la aplicación de políticas DMARC con rechazo (reject) para los dominios gubernamentales, muchos Estados europeos siguen basándose en recomendaciones en lugar de imponer requisitos obligatorios. El resultado es un panorama fragmentado en el que la confianza en las instituciones sigue sin estar respaldada por mecanismos técnicos.
DMARC: el control que sigue sin aplicarse
Los estándares de autenticación del correo electrónico (SPF, DKIM y DMARC) no son nuevos. DMARC permite a los propietarios de los dominios indicar a los sistemas receptores que rechacen cualquier mensaje que no supere estas comprobaciones.
Sin embargo, el problema no es la falta de concienciación, sino la aplicación estricta de estas medidas. En el conjunto del sector público, muchos dominios siguen funcionando en modo de supervisión, lo que deja la puerta abierta a la suplantación de identidad. Un dominio sin una aplicación estricta de DMARC no indica a los sistemas receptores de correo que rechacen los mensajes que no superan las comprobaciones de DMARC, lo que deja más margen para que prosperen los intentos de suplantación de identidad.
La paradoja de la ciberseguridad en Europa: una regulación sólida, pero una aplicación deficiente
La brecha de seguridad de ANTS pone de manifiesto un problema más amplio de confianza en las comunicaciones digitales del sector público: cuando no se aplica la autenticación del correo electrónico, se pide a los ciudadanos que confíen en un canal que los atacantes pueden imitar.
Europa ha desarrollado uno de los marcos regulatorios más avanzados del mundo, que incluye:
- RGPD
- NIS2
- DORA
Y ahora, tras incidentes como el sufrido por ANTS, las administraciones públicas están reforzando su respuesta. Francia ha anunciado recientemente un plan nacional de ciberseguridad con el objetivo de fortalecer la protección del sector público.
Sin embargo, estos marcos comparten una limitación estructural: establecen responsabilidades, pero no siempre aseguran que las medidas técnicas se apliquen de forma eficaz. Los atacantes no se aprovechan de los marcos de gobierno; explotan las deficiencias en su aplicación.
El incidente de ANTS ilustra claramente esta contradicción:
- Las autoridades informan a las víctimas por correo electrónico.
- Las autoridades advierten del phishing por correo electrónico.
- Pero los controles técnicos que dificultarían considerablemente la suplantación de la identidad siguen sin implantarse de forma generalizada.
ANTS: Un caso de estudio sobre una vulnerabilidad estructural
La comunicación oficial del Ministerio del Interior francés confirma varios aspectos clave:
- Quedaron expuestos datos personales de identificación.
- Las autoridades comenzaron a informar a los afectados.
- Se advirtió claramente a los usuarios sobre los riesgos de phishing.
- No era necesario que los usuarios adoptaran medidas inmediatas.
Esto pone de manifiesto una paradoja evidente: la misma institución que alerta sobre el phishing confía en un canal que puede ser suplantado mediante el uso de datos sustraídos. Esto significa que, para la mayoría de los usuarios, no existe una manera clara de saber si un mensaje que reciben es auténtico o fraudulento..
Una perspectiva global sobre una brecha cada vez mayor
Este no es un problema universal. En Estados Unidos, las directrices federales obligan a los organismos públicos a desplegar y aplicar políticas de autenticación del correo electrónico, incluido DMARC, en lugar de limitarse a supervisarlas. La diferencia se refleja claramente en la práctica:
- En Estados Unidos, la suplantación de dominios de gubernamentales es cada vez más difícil.
- En Europa, a menudo sigue siendo técnicamente posible.
No es un problema de capacidad técnica, sino de priorización. Aunque Europa está a la vanguardia de la regulación, la capacidad de garantizar técnicamente la confianza sigue siendo desigual entre los distintos países europeos.
La perspectiva de Proofpoint: si pueden suplantar su identidad, la confianza en su organización está en peligro
Los ciberdelincuentes ya no tienen como principal objetivo comprometer sistemas. Cada vez dirigen más sus ataques contra las personas.
- La ingeniería social está ganando terreno frente al malware.
- La identidad es el nuevo perímetro de seguridad.
- El correo electrónico sigue siendo el principal vector de ataque.
Esto conduce a una conclusión tan simple como incómoda: desde la perspectiva de la confianza, si un atacante puede suplantar su identidad, puede que no necesite comprometer sus sistemas.
La siguiente fase ya ha comenzado
El riesgo generado por el incidente de seguridad de ANTS sigue presente. Aunque se haya identificado a un presunto atacante, se hayan producido detenciones, los sistemas se hayan suspendido temporalmente y las plataformas se hayan reabierto con medidas de seguridad reforzadas, la cuestión fundamental no ha cambiado: los datos ya han quedado expuestos.
Eso significa que los atacantes ya saben a quién dirigirse y que es probable que surjan nuevos pretextos para futuros ataques. Las respuestas estratégicas, ya sean operativas, judiciales o políticas, no eliminan la oportunidad que la suplantación de identidad ofrece a los atacantes.
La única cuestión pendiente es si los mensajes que suplanten la identidad de instituciones europeas serán detectados y bloqueados o si acabarán entregándose. Hoy, en buena parte de Europa, la respuesta sigue sin estar clara, y esa falta de certeza es precisamente lo que aprovechan los atacantes.
Protege la confianza detrás de cada mensaje. Descubra cómo Proofpoint ayuda a las organizaciones a aplicar DMARC, protegerse frente a la suplantación de dominios (domain spoofing) y detener los ataques de suplantación de identidad por correo electrónico antes de que lleguen a los usuarios.