El Ministerio del Interior francés ha confirmado oficialmente que la Direction Générale des Finances Publiques, el organismo encargado de gestionar los documentos nacionales de identidad y pasaportes franceses, sufrió una brecha de seguridad que expuso datos personales de ciudadanos. La confirmación llega semanas después de que investigadores de seguridad independentes descubrieran la vulnerabilidad y la notificaran al gobierno de forma privada.

Según las primeras estimaciones, la brecha afectó a nombres, direcciones, fechas de nacimiento y números de documento de aproximadamente 140.000 franceses. No obstante, el gobierno ha señalado que la investigación aún está en curso y que el número final de afectados podría ser mayor. Hasta ahora no hay evidencia de que los datos expuestos hayan sido explotados de forma maliciosa, aunque los expertos advierten que ese tipo de información es altamente valiosa en mercados de la dark web.

La vulnerabilidad residía en una API mal configurada que permitía acceder a registros administrativos sin autenticación. Los investigadores de seguridad que la descubrieron, que prefirieron permanecer en el anonimato, indicaron que la dejaron accesible durante al menos tres semanas antes de que el organismo aplicara un parche. Durante ese periodo, cualquier persona con conocimientos técnicos podía haber extraído datos de forma automatizada.

Este incidente se suma a una lista creciente de breches en organismos públicos europeos. La Autorité de Protection des Données française ha abierto una investigación formal y podría imponer sanciones conforme al Reglamento General de Protección de Datos. Varios grupos de defensa de la privacidad han solicitado al gobierno explicaciones sobre por qué el periodo entre el descubrimiento y la corrección fue tan prolongado.