Prensa para pensar

Senegal. ¿La mayor filtración de datos en la historia de este país? Lo que se sabe del ciberataque a la DAF.

Marième Soumaré                                                                                                    Dakar                                                                                                                                          Jeune Afrique                                                                                                               07/02/26

Foto: Ministerio del Interior de Senegal. © Ministerio del Interior de Senegal

La Dirección de Automatización de Archivos, adscrita al Ministerio del Interior, fue víctima de un ataque informático a principios de 2026. Lo que oficialmente se califica de incidente podría, por su magnitud, constituir una intrusión «histórica».

Datos personales, parte de los registros de inmigración, información sobre los electores… ¿Cuál es exactamente el alcance del ciberataque que tuvo como blanco la Dirección de Automatización de Expedientes (DAF) en Senegal a principios de 2026  ?

Esta agencia, dependiente del Ministerio del Interior y que gestiona documentos de identidad, así como los datos biométricos y electorales de millones de ciudadanos, ha suspendido temporalmente su servicio de producción de documentos nacionales de identidad . Su director indicó que se trató de un «incidente técnico» y aseguró que los datos personales de los usuarios estaban «ilegibles». Añadió que se ha iniciado una investigación.

Netflix durante cinco años

En realidad, Senegal bien podría haber sido el objetivo de un ciberataque de una magnitud sin precedentes. En un mensaje publicado en la Dark Web el 4 de febrero, el Grupo Sangre Verde se atribuyó la responsabilidad del ataque y anunció que poseía 138 terabytes de datos confidenciales de los servidores de DAF, algunos de los cuales ya se han publicado.

Un volumen «colosal» y un ataque «histórico», insiste Clément Domingo, alias SaxX, especialista en ciberseguridad. «Esto equivale al mismo volumen de datos que si hubieras visto Netflix 24/7 durante cinco años seguidos», añade. Para él, la afirmación de que los datos personales de los ciudadanos senegaleses están seguros es insostenible. «Una investigación determinará el alcance del ataque, pero los fragmentos de información que han publicado los hackers demuestran que obtuvieron acceso a los servidores de la DAF».

De confirmarse la cifra de 139 terabytes, significaría que los ciberdelincuentes tuvieron acceso a la base de datos de la agencia nacional durante «cuatro a seis meses». Clément Domingo cree que no habrían podido llevar a cabo tal intrusión sin ayuda externa ni complicidad interna.

Ciberdelincuentes que practican la doble extorsión

Hasta ahora poco conocido por los expertos, el Grupo Sangre Verde podría exigir un rescate a Senegal a cambio de no divulgar los datos robados. Sin embargo, la naturaleza sensible de la información recopilada podría impulsar otras actividades ilícitas, como el mercado de documentos falsificados.

En un artículo publicado el 30 de enero de 2026, el sitio web de ciberseguridad Foresite informó sobre la aparición de este grupo cibercriminal. «Opera según un modelo de doble extorsión, amenazando con revelar datos si las negociaciones fracasan», advertía el artículo, enumerando los tres objetivos de The Green Blood Group: India, Colombia y Senegal. Esta focalización sugiere que el grupo se centra en regiones donde la respuesta a este tipo de incidentes varía, lo que aumenta sus posibilidades de éxito en la extorsión, advertía el sitio web.

Una serie de ataques contra Senegal

Este ataque se produce tras otras dos intrusiones del mismo tipo, una en las bases de datos de la Agencia de Regulación de Correos y Telecomunicaciones en 2022, y otra en las de la Dirección General de Impuestos y Dominios en octubre de 2025. «Y que yo sepa, solo desde principios de 2026, seis empresas han sido atacadas en Senegal», añade Clément Domingo.

Los cibercriminales podrían sentirse atraídos por este país, que está experimentando una rápida digitalización y buscando la «soberanía digital», sin que la implementación de mecanismos de protección de datos haya avanzado al mismo ritmo.

Por ahora, Senegal cuenta con la Dirección General de Seguridad de los Sistemas de Información y Protección de Datos (DCSSI), adscrita a la Presidencia de la República. «Debemos asegurar nuestra infraestructura, proteger nuestros datos sensibles y fomentar el surgimiento de líderes nacionales», declaró Bassirou Diomaye Faye en febrero de 2025. El jefe de Estado hizo estas declaraciones durante el lanzamiento del Nuevo Pacto Tecnológico, un proyecto de más de un billón de francos CFA que busca fortalecer la infraestructura digital, digitalizar los servicios públicos, desarrollar la economía digital y convertir a Senegal en un centro tecnológico regional.

Hackers hardcore

Pero aún queda mucho camino por recorrer, según Clément Domingo, quien lamenta la «mala comunicación de la crisis» del gobierno senegalés. «El riesgo es que los hackers agraven la situación y decidan publicar aún más datos para demostrar el alcance de su intrusión».

Según la prensa senegalesa, la empresa Sénégal Numérique, encargada de implementar la política informática del estado, también habría sido objeto de un ataque. Al ser contactada por Jeune Afrique, ni la empresa, ni la DAF (Dirección de Administración y Finanzas) ni el Ministerio de Comunicación habían respondido al momento de la publicación