Una brecha de seguridad afectaría a más de 30.000 clientes de Nubank Colombia, cuyos datos personales y financieros estarían a la venta en la web oscura por 730.000 pesos. El ataque, atribuido al grupo cibernético NyxarGroup, también habría comprometido a BBVA y a la Universidad Nacional.

Una alarma en el sector financiero colombiano se encendió tras revelarse una presunta filtración de datos de más de 30.000 clientes de Nubank Colombia, cuya información habría sido puesta a la venta en foros de la dark web por 200 dólares (aproximadamente 730.000 pesos). Los registros, altamente detallados, incluirían nombres completos, números de identificación, teléfonos, montos adeudados, fechas de pago, días de mora y estados de cuenta, según reportes de ciberseguridad de Vecert Analyzer y Dark Web Informer.

La base de datos, identificada con nombres como “Agreements-By-Client-5804” y “General Base NUBANK-NU COLOMBIA”, sugiere un acceso profundo a sistemas internos de gestión de cobranza. Lo más preocupante, según expertos, es que la información permite no solo identificar a los usuarios, sino también reconstruir su comportamiento financiero, lo que abre la puerta a fraudes, extorsiones y suplantación de identidad.

Aunque aún no hay confirmación oficial por parte de Nubank, las investigaciones preliminares apuntan a que la brecha no habría ocurrido directamente en los servidores del banco digital, sino en proveedores externos de gestión de cartera. Las empresas señaladas son EmergiaCC y Conalcréditos, firmas especializadas en recuperación de cartera que prestan servicios a múltiples entidades financieras en el país.

Este hallazgo reaviva el debate sobre los riesgos de la tercerización de servicios críticos y el manejo de datos sensibles por parte de contratistas. “Cuando una entidad financiera subcontrata procesos que involucran información personal, también subcontrata el riesgo de exposición”, advirtió un analista de ciberseguridad que pidió el anonimato.

El supuesto responsable de la filtración es un usuario conocido como “Petro_Escobar”, quien habría compartido fragmentos de los datos como muestra en foros de ciberdelincuencia. Aunque la autenticidad total de la base aún no está verificada, la coherencia de los registros ha generado serias preocupaciones en la comunidad de seguridad digital.

El ataque no sería aislado. El mismo actor o grupo, identificado como NyxarGroup, habría comprometido también cerca de 1.000 registros de clientes de BBVA Colombia, también en procesos de cobranza. En este caso, los datos filtrados —incluyendo estrategias de contacto y etapas del proceso de recuperación— estarían vinculados a bases administradas por Conalcréditos, reforzando la hipótesis de un ataque coordinado a proveedores comunes.

Además, un tercer caso vinculado al mismo grupo afectaría a la Universidad Nacional de Colombia, con cerca de 100.000 expedientes estudiantiles filtrados. Aunque los detalles son escasos, expertos alertan sobre el potencial uso de estos datos para fraudes académicos o identitarios.

Hasta la fecha, ni Nubank, ni BBVA, ni las empresas tercerizadas han emitido comunicados oficiales sobre los incidentes. Tampoco se ha confirmado si se han presentado denuncias ante las autoridades, como la Superintendencia Financiera o la Policía Cibernética.

Este tipo de incidentes pone a prueba los marcos de protección de datos en Colombia, especialmente tras la entrada en vigor de la Ley Estatutaria de Datos Personales. Las entidades financieras y sus aliados deben garantizar la seguridad de la información, incluso cuando está en manos de terceros.

Mientras tanto, usuarios afectados —especialmente aquellos en procesos de cobranza— se recomienda extremar precauciones: evitar compartir información personal por teléfono o mensajes, revisar estados de cuenta con frecuencia y reportar cualquier actividad sospechosa.

La ciberseguridad ya no es solo un tema técnico: es una responsabilidad colectiva que involucra a bancos, proveedores, reguladores y ciudadanos. En un mundo cada vez más digital, una sola brecha puede tener consecuencias masivas.