DIGERCIC y GordonFreeman: por qué la "filtración" no es nueva
Los 14.8M registros y 10.6M imágenes atribuidos al Registro Civil de Ecuador son data del MSP exfiltrada en agosto 2025 vía infostealers, reempaquetada bajo nueva identidad por el mismo actor que operaba como Gatito_FBI.
TL;DR
El reciente anuncio de una supuesta filtración de 14.8 millones de registros y 10.6 millones de imágenes atribuida al Registro Civil de Ecuador (DIGERCIC) por el actor “GordonFreeman” es, en realidad, reciclaje de datos. El análisis técnico confirma que esa información fue exfiltrada de los sistemas del Ministerio de Salud Pública (MSP) en agosto de 2025, cuando el mismo actor operaba bajo el alias “Gatito_FBI”.
Riesgo real: la amenaza no proviene de un zero-day contra el perímetro estatal, sino del consumo sistemático de logs de infostealers para reutilizar credenciales legítimas.
1. Discrepancia de la base: DIGERCIC vs MSP
El actor afirma haber comprometido el Registro Civil. La evidencia muestra otra cosa al revisar las columnas SQL expuestas:
Approximate_Age,Contact_Name,Relationship,Contact_Phone— campos típicos de una ficha médica o registro clínico de emergencia.- Los registros civiles formales utilizan fecha exacta de nacimiento y no almacenan “relación con contacto de emergencia” en ese formato.
Esto confirma que el origen real es el sistema del MSP, no el Registro Civil. Junto a estos datos, el actor también extrajo imágenes faciales asociadas a fichas médicas.
2. Vector de ataque: infostealers + scraping
La intrusión inicial no fue un ataque sofisticado contra la infraestructura. Se explotó la cadena de suministro de identidad:
- Acceso inicial: consumo de logs de infostealers (malware que roba credenciales guardadas en navegadores). El atacante obtuvo credenciales válidas de funcionarios o personal médico previamente infectado, y entró por la puerta principal a los portales internos del MSP.
- Exfiltración masiva: una vez dentro, desplegó herramientas de scraping automatizado para iterar registros y descargar tanto la información textual como un volumen masivo de fotografías faciales.
3. Línea de tiempo de atribución (Gatito_FBI → GordonFreeman)
Fase 1 — alias “Gatito_FBI” (agosto 2025)
| Fecha | País | Objetivo |
|---|---|---|
| 05 ago 2025 | Venezuela | 2.9M registros de menores |
| 05 ago 2025 | Perú | Sanipes, UPC, Izipay |
| 07 ago 2025 | Colombia | Documentos internos Rama Judicial |
| 13 ago 2025 | Perú | 440K registros del Min. de Trabajo (DNI + fotos) — monetizado vía bot de doxing FenixBot |
| 17 ago 2025 | Bolivia | Ministerio de Defensa (servicios de auxilio) |
| 24 ago 2025 | Ecuador | MSP — la fuente real de la “filtración DIGERCIC” actual |
Fase 2 — migración a “GordonFreeman” (inicios 2026)
El actor abandona su Telegram público y profesionaliza la operación, apuntando a objetivos con mayor rentabilidad financiera (bancos, fintech, bases gubernamentales masivas):
- 30 ene 2026 · Venezuela: Fintech CASHEA (cuentas, teléfonos, RIF).
- 01 feb 2026 · Ecuador & España: Agencia de Control de Armas (EC) y Min. de Universidades (ES).
- 05 feb 2026 · Internacional: Air France (2M usuarios), Flair Airlines, Fuerza Aérea Argentina.
- 06–07 feb 2026 · Paraguay: Contraloría General (340K) y DINAC.
- 10–11 feb 2026 · Venezuela financiero: webmail BCV y 65K cuentas Bancrecer.
- 15 feb 2026 · Panamá: fintech ZINLI (50K usuarios).
- 04 mar 2026 · Global: 25K pasaportes internacionales.
- 03 abr 2026 · Ecuador & Chile: ANT Ecuador (17M vehículos) y 10M registros en Chile.
- 04–15 abr 2026 · Paraguay & Venezuela: Registro Civil Paraguay (5M), CORPOELEC, SENIAT (13.8M).
- 18–22 abr 2026 · Venezuela: CONVIASA (165GB), base policial, PDVSA.
- 28–30 abr 2026 · Guatemala: RENAP (18M), SAT (5.6M vehículos), Min. de Educación (150K).
- 05 may 2026 · Ecuador: publicación de 14.8M registros + 10.6M imágenes — falsamente atribuida a DIGERCIC (origen real: MSP, agosto 2025, infostealer).
4. Por qué importa
La transición Gatito_FBI → GordonFreeman representa una maduración táctica hacia el cibercrimen de alto impacto financiero en Latinoamérica. El actor abandonó la exposición pública y los foros abiertos para enfocarse en exfiltración y monetización de infraestructura crítica, bancaria y gubernamental.
El reempaquetado de información del MSP de 2025 como “filtración DIGERCIC 2026” es marketing criminal: busca inflar artificialmente la reputación técnica del actor y el valor comercial de los datos en mercados underground.
5. Mitigación
El riesgo actual real no está en zero-days del perímetro, sino en la explotación sistemática de la cadena de suministro de identidad digital:
- Invalidación activa de credenciales expuestas en logs de malware (suscripción a feeds de credential leaks).
- MFA obligatorio en portales gubernamentales — un infostealer que roba cookies de sesión queda neutralizado si la sesión exige factor adicional.
- Monitoreo de scraping y rate-limiting en bases interconectadas del Estado.
- EDR/antimalware corporativo en endpoints de funcionarios con acceso a sistemas críticos — los infostealers operan en la máquina del usuario, no en el servidor.
- Auditoría de accesos legítimos con anomalías de volumen o patrón (un médico no descarga 10M de fichas en 48h).
Fuente del análisis original: VECERT Analyzer (@VECERTRadar) — 5 may 2026.
Adaptación y comentario editorial: equipo IDK Manager.
*Última actualización: 2026-05-06 (hero image + Blog en navbar)