Las filtraciones masivas de información se convirtieron en una amenaza constante para organismos estatales y corporaciones. Cuando el sistema involucrado es ClaveÚnica, la llave maestra para interactuar con el Estado chileno, las consecuencias van más allá de la privacidad individual.
Una posible filtración del sistema, que generó recomendaciones preventivas de las autoridades para cambiar contraseñas, puso nuevamente en evidencia las fragilidades estructurales del esquema de autenticación vigente.
André Goujon, CEO de Lockbits, dice que “cuando los cibercriminales logran vulnerar los sistemas, una de sus formas de extorsión es amenazarlas con filtrar la información que obtienen, la cual incluye credenciales de acceso y/o información sensible como es la médica y bancaria. Y en Chile ya han ocurrido muchos casos”.
Los datos obtenidos en estas filtraciones suelen terminar en foros especializados o en la dark web, donde son vendidos para cometer fraudes de identidad o ataques dirigidos de phishing.
Las tres vulnerabilidades críticas de ClaveÚnica
La primera vulnerabilidad es estructural. ClaveÚnica requiere solo el número de serie del documento de identidad y la contraseña para ingresar, sin un segundo factor de autenticación como un código SMS o biometría.
Goujon continúa diciendo que “hemos conocido casos recientes donde se han comprometido cuentas de ClaveÚnica, permitiendo al ciberatacante entrar fácilmente al sistema. Así, se ha comprobado la fragilidad que tiene, ya que solo requiere el número de serie del documento de identidad y la contraseña para modificar clave y datos de recuperación, careciendo de un segundo factor de autenticación, a diferencia de los estándares de seguridad bancarios”.
La segunda vulnerabilidad es que el número de serie del carnet circula con frecuencia en trámites cotidianos, perdiendo su carácter de dato secreto. Cualquier filtración que asocie RUTs con sus números de serie deja la puerta abierta para gestiones fraudulentas en plataformas gubernamentales.

La tercera es operativa: el sistema no cuenta con un call center disponible las 24 horas, lo que amplía el margen de daño cuando los ataques ocurren fuera del horario administrativo.
El rol del Estado: bloqueo preventivo y autenticación robusta
Goujon señala que “es imperativo que el Estado chileno evolucione y acelere hacia modelos de identidad digital descentralizada y robustezca la autenticación mediante multifactor para garantizar que la administración pública y los datos sensibles de los ciudadanos permanezcan protegidos”.
Además de informar a los ciudadanos ante una filtración, resulta clave bloquear preventivamente el acceso para que el usuario pueda establecer una nueva contraseña.
“Esta medida busca evitar que la responsabilidad de la seguridad recaiga exclusivamente en el ciudadano, quien muchas veces no tiene las competencias digitales para dimensionar el riesgo. Al forzar un cambio de credenciales ante una vulnerabilidad confirmada, las instituciones adoptan una postura proactiva que mitiga riesgos y garantiza que la higiene digital sea una norma institucional y no una opción del usuario”, señala.
Goujon plantea que el robustecimiento de los sistemas debe ir acompañado de soporte técnico 24/7 y la implementación de factores de autenticación adicionales como códigos SMS o biometría, superando la dependencia de datos estáticos como el número de serie del carné, “el cual ya se encuentra ampliamente expuesto en diversas bases de datos”, concluye.
