Brecha de datos en el gobierno de Canadá expone números de teléfono y cuentas de correo

En un comunicado emitido el 9 de septiembre de 2025, la Secretaría del Consejo del Tesoro de Canadá anunció que números de teléfono y direcciones de correo electrónico de las cuentas de usuario de la Agencia Tributaria de Canadá (CRA), el Ministerio de Empleo y Desarrollo Social de Canadá (ESDC) y la Agencia de Servicios Fronterizos de Canadá (CBSA) se han visto afectados por una filtración de datos. En total se estima que el incidente ha afectado a más de 880.000 números de teléfono y 85.000 correos.

El 17 de agosto de 2025, el Gobierno de Canadá fue alertado de la brecha de datos. Ésta afectaba a la interfaz de la aplicación de autenticación multifactor (MFA) de su proveedor de servicios externo 2Keys Corporation. Este servicio de autenticación es el utilizado para comprobar las credenciales de las cuentas de usuario asociadas a las entidades canadienses CRA, ESDC y CBSA, anteriormente mencionadas.

Una actualización rutinaria de software provocó una vulnerabilidad que permitió a un actor malicioso acceder a números de teléfono y direcciones de correo electrónico de las personas que utilizaron el servicio MFA entre el 3 y el 15 de agosto de 2025. Durante este periodo, el actor envió mensajes de spam a algunos de estos números de teléfono comprometidos. Estos mensajes contenían un enlace a un sitio web fraudulento de phishing que imitaba el sitio web oficial del Gobierno de Canadá para robar los datos de los usuarios. Por el momento, no se ha identificado el autor de esta incidencia.

El gobierno canadiense anunció que su proveedor 2Keys Corporation ya solucionó la vulnerabilidad y que el servicio de autenticación había sido restaurado. La investigación que se está llevando a cabo indica que, hasta el momento, no hay indicios de que se haya expuesto más información personal sensible, más allá de los propios números de teléfono y cuentas de correo.