Hackers filtran documentos secretos de LAPD

El 8 de abril de 2026, hackers del gang World Leaks robaron y filtraron más de 7.7 terabytes de documentos sensibles del Departamento de Policía de Los Ángeles, incluyendo archivos de personal de oficiales, investigaciones internas sin redactar, y datos de testigos y víctimas (algunos con información médica). El ataque no fue directo a servidores LAPD, sino a un sistema de almacenamiento externo de la Fiscalía de Los Ángeles, exponiendo a decenas de miles de personas a riesgos graves de identificación y represalia.

Qué es World Leaks y cómo opera

World Leaks es un gang de ciberdelincuentes especializado en extorsión. Nació en enero de 2025 como sucesor de Hunters International (otro grupo de ransomware que luego cambió modelo). El diferencial de World Leaks es que opera en modo “extortion-only” — roban datos, los publican en su sitio de dark web, y presionan a la víctima para pagar un rescate amenazando con distribuir la información de forma más amplia.

Según reportes del sector de seguridad, World Leaks ha comprometido a ~60 organizaciones en todo el mundo. Sus objetivos principales no son gobiernos (por el riesgo legal), sino empresas grandes con presupuesto de ciberseguridad más débil: Nike (1.4TB robados), Dell (1.3TB), L3Harris (contratista de defensa), y otros. El ataque al LAPD es atípico para ellos (ponele que suele ser un riesgo alto buscar pelear con policía), lo que sugiere que puede haber sido accidental — encontraron los datos mientras atacaban el sistema de la Fiscalía.

El incidente: qué robaron hackers del LAPD

El 8 de abril de 2026, World Leaks publicó (y después eliminó) más de 7.7 terabytes con 337,000+ archivos en su plataforma de leak, una página de dark web donde anuncian sus breaches. La filtración fue reportada por Emma Best, fundadora de Distributed Denial of Secrets, un grupo de transparencia que sigue y archiva filtraciones de ciberdelincuentes.

Acá viene lo bueno: el LAPD emitió un comunicado aclarando que el ataque no fue directo a sus redes o servidores. El problema fue un servidor de almacenamiento digital perteneciente a la Fiscalía del Condado de Los Ángeles (LA City Attorney’s Office). Ambas organizaciones comparten datos — la policía genera reportes, la fiscalía los archiva, los abogados defensores los revisan — y todo fluye por el mismo sistema. Punto único de fallo (spoiler: es un desastre para la seguridad).

Alcance del ataque: documentos sensibles expuestos

Lo que se robó fue brutal en términos de sensibilidad. Hablamos de:

• Archivos de personal de oficiales: nombres completos, números de empleado, direcciones personales, números de teléfono, información de emergencia, historiales de empleo.
• Investigaciones de Asuntos Internos (IA): reportes de denuncias contra oficiales, quejas por abuso, negligencia, corrupción. Información que podría poner en riesgo investigaciones activas.
• Documentos de discovery: en casos criminales, la fiscalía debe entregar a la defensa documentos “descobiertas” — reportes de policía, evidencia, etc. Si esos documentos tienen información sin redactar, exponen a testigos y víctimas.
• Datos de testigos y víctimas: nombres completos, direcciones, números de teléfono de personas que testificaron o fueron víctimas. Riesgo extremo si la víctima es de un caso de violencia doméstica, stalking, o crimen sexual.
• Datos médicos: historiales de salud, reportes de lesiones, exámenes forenses de abuso sexual, registros psicológicos.

La verdad es que cada una de estas categorías es una bomba de privacidad en sí misma (fijate que no es solo “se perdieron unos datos”, es que la información puede usarse para identificar, amenazar, o revictimizar a personas vulnerables años después del caso).

Privacidad comprometida: el impacto real en testigos y víctimas

Ponele que vos eres testigo de un crimen. Tu nombre, dirección, número de teléfono, y detalles de lo que viste están en un documento de discovery. Ese documento acaba en manos de un criminal. Años después, te contactan para amenazarte, hacerte chantaje, o peor.

Ahora amplificá eso: si sos víctima de violencia doméstica y tu nombre está expuesto con tu dirección, tu abusador (o un tercero que lo ayude) puede encontrarte. Si sos víctima de violencia sexual y tus datos médicos se publican, no hay forma de “volver atrás”. El riesgo no es de hoy — es de años, décadas. Hay víctimas de casos de los 90s/2000s que todavía son vulnerables. En en nuestra comparativa sobre seguridad y privacidad profundizamos sobre esto.

Emma Best, la investigadora que revisó los datos antes de que se eliminaran, confirmó que había información sin redactar. Eso significa que los procesos de sanitización que debería hacer la fiscalía antes de compartir documentos fallaron en algún punto — o nunca existieron.

Cómo sucedió: vulnerabilidades en sistemas gubernamentales compartidos

Los gobiernos locales en EE.UU. casi siempre usan modelos de almacenamiento compartido entre múltiples agencias. La razón es práctica: es más barato tener un servidor central que cien servidores separados, y facilita el flujo de información entre policía, fiscalía, tribunales, y defender.

El problema es obvio: si alguien parchea un servidor, todos los demás quedan expuestos. Si un atacante entra por la puerta de la fiscalía, tiene acceso automático a datos de la policía y los tribunales. No hay segregación real de redes, ni encriptación granular por agencia, ni monitoreo diferenciado de acceso.

Segundo: Los gobiernos tienen presupuestos de ciberseguridad notoriamente bajos. Un equipo de 5 personas hace el trabajo de 50. Los parches salen meses después de que son disponibles. Las capacitaciones de seguridad son anuales si suena la campana. Contraseñas compartidas. Acceso administrativo heredado de empleados que se fueron hace 3 años.

World Leaks probablemente usó técnicas estándar: phishing a un empleado de la fiscalía, un credential spray contra el sistema de login, o explotó una vulnerabilidad conocida (CVE sin parchear). Una vez dentro, lateral movement fue fácil — los sistemas comparten grupos de AD, las credenciales funcionan en todo, y no hay detección de anomalías.

Respuesta e investigación en curso

El LAPD confirmó que está investigando. Dicho eso: la investigación corre a ritmo de tortuga. El comunicado oficial dice que está “trabajando con la Oficina de la Fiscalía de LA para acceder a los archivos impactados y entender el alcance completo de la filtración” (traducción: todavía no saben exactamente qué se llevaron). Te puede servir nuestra cobertura de ejecutando sistemas locales sin exponer datos en la nube.

Autoridades federales (probablemente FBI y CISA) están involucradas. Emma Best de Distributed Denial of Secrets tiene una copia de lo que se filtró y lo está documentando — aunque, medio que la transparencia aquí es incómoda porque implica que un grupo de activistas que archivo filtraciones tiene mejor visibilidad sobre lo que se perdió que la policía misma.

World Leaks eliminó el leak de su sitio poco después de publicarlo. No está claro por qué: podría haber recibido presión legal, o decidieron que el riesgo de atacar un departamento de policía de EE.UU. era demasiado alto para lo que podían sacar de rescate.

Tabla: World Leaks vs. otros gangs de extorsión

Qué está confirmado y qué sigue pendiente

Confirmado:

• 7.7TB con 337,000+ archivos fueron robados, según Emma Best (Distributed Denial of Secrets).
• El ataque fue a servidores de la Fiscalía de LA, no directamente a LAPD.
• World Leaks es responsable (reportado por múltiples fuentes de ciberseguridad).
• El leak incluía información sin redactar de testigos, víctimas, y datos médicos.
• El LAPD está investigando con la Fiscalía.

No confirmado / Pendiente:

• El método exacto de acceso inicial (phishing, credential spray, CVE específica).
• Si habrá compensación a víctimas y testigos.
• Cuándo terminará la investigación federal.
• Si World Leaks pidió rescate (no hay reportes públicos).
• El número exacto de personas cuyos datos fueron expuestos (se sospecha decenas de miles, pero no hay cifra oficial).

Errores comunes que cometen gobiernos locales en ciberseguridad

Error 1: Presupuesto insuficiente para ciberseguridad

Un departamento de policía de una ciudad mediana gasta $2M en un nuevo edificio, $500k en patrullas, y $50k/año en IT. De esos $50k, $40k van a licencias de Windows Server y el resto a un admin que maneja 200 servidores. Ciberseguridad activa = cero. Corrección: los gobiernos necesitan asignar 15-20% del presupuesto IT a seguridad, punto.

Error 2: No segregar redes por sensibilidad

Todos los datos en un mismo servidor. Policía, fiscalía, tribunales. Un acceso = todo expuesto. Corrección: VLAN separadas por agencia, firewall de aplicación, encriptación por carpeta (archivos de IA en clave diferente que archivos públicos).

Error 3: No redactar automáticamente antes de compartir

Los documentos discovery deberían pasar por un proceso automático que redacte nombres de testigos, direcciones, números de identificación. En vez de eso, lo hace un paralegal manualmente (o a veces nadie). Corrección: implementar un pipeline de sanitización con IA + revisión humana antes de que cualquier documento toque una red compartida.

Lecciones de seguridad para instituciones públicas

Lo que pasó con el LAPD debería ser un wake-up call para gobiernos locales de Latinoamérica también. Si en LA (con más recursos que 99% de ciudades del mundo) pasa esto, imaginate qué está pasando en Buenos Aires, São Paulo, o Lima. Más contexto en sobre dónde almacenar información confidencial de forma segura.

Necesitás hacer esto:

• Segregación de redes real: policía, fiscalía, tribunales en subnets separadas. Acceso a carpetas compartidas solo con autenticación multi-factor y logging granular.
• Encriptación en reposo y tránsito: AES-256 para archivos sensitivos. TLS 1.3 obligatorio entre servidores.
• Monitoreo de acceso 24/7: alertas si alguien accede a 1000+ archivos en 30 minutos, o si copia datos a una carpeta nueva.
• Parches en menos de 30 días: establecé un SLA. Vulnerabilidades críticas (CVSS 9+) se parchean en 7 días máximo.
• Capacitación mensual: no anual. Cada mes 30 minutos con empleados sobre phishing, contraseñas, y el riesgo real (mostrate casos reales de filtraciones, no genéricos).
• Redacción automatizada: antes de que un documento salga del servidor de policía, debería pasar por un sistema que identifique nombres, direcciones, números de caso sensibles y los redacte automáticamente.
• Auditoría externa anual: contratar penetration testers para que intenten romper la seguridad. No es vanidad, es necesario.

Para gobiernos locales de Argentina y Latinoamérica: si tenés datos sensibles (policía, salud, educación, justicia) en servidores, asumí que van a ser atacados. Es no “si”, es “cuándo”. Preparate.

Preguntas Frecuentes

¿Cómo puedo saber si mis datos fueron incluidos en la filtración?

No hay un sitio público donde verificar. Si fuiste testigo o víctima en un caso de LA en los últimos años, deberías asumir que el riesgo existe. Lo mejor es contactar directamente a la Fiscalía de LA (202-974-3700, oficina de víctimas) para preguntar si eres afectado. Algunos gobiernos ofrecen monitoreo de crédito gratis a víctimas de filtraciones — aprovecha.

¿Por cuánto tiempo World Leaks pide rescate?

Su modelo típico es: publica la filtración en dark web con un contador de 7 a 30 días. Si la víctima no paga, amplía la publicidad. El riesgo desaparece cuando la víctima paga (o cuando dejan de importarle los datos porque pasó mucho tiempo). En el caso del LAPD, borraron el leak en días, lo que sugiere que ganaron poco dinero o evaluaron que no valía la pena el riesgo legal.

¿Qué debería hacer el LAPD ahora?

Implementar todo lo que mencioné en la sección de lecciones: segregar redes, encriptar, auditar, entrenar empleados, automatizar redacción. Además, notificar a TODAS las personas afectadas (oblación legal en CA bajo CCPA). Y presionar a la ciudad de LA para que aumente presupuesto de ciberseguridad de forma permanente.

¿Dónde puedo reportar información sobre el ataque?

TechCrunch reportó el incidente y tiene un contacto: puedes reportar de forma segura a través de Signal (+1 917 257 1382) o Telegram (@lorenzofb). Para reportes en línea, contactá a la FBI (ic3.gov) o a CISA (reportar vulnerabilidades).

¿Este tipo de ataque es común en gobiernos locales?

Sí, pero rara vez se filtra públicamente. Según CISA, gobiernos municipales en EE.UU. sufrieron 400+ ataques de ransomware en 2025. La mayoría no sale a la prensa. El LAPD es noticias porque es una jurisdicción grande, y porque Emma Best lo documentó. Imaginate cuántos otros ataques hay que nunca se saben.

Conclusión

El robo de documentos del LAPD es un recordatorio brutal de que los gobiernos locales, incluso en países ricos con recursos, no están preparados para la ciberseguridad moderna. Un gang de extorsión entró a un sistema compartido, robó 7.7TB con información de testigos y víctimas, y publicó. No hubo detección temprana, no hay un plan claro de respuesta, y no hay garantía de que no pase de nuevo mañana.

Lo que sí está claro: si sos gobierno local en Latinoamérica (o en cualquier lado, honestamente), presupuesta ya para segregación de redes, encriptación, y monitoreo real. La alternativa es esperar a que te pase lo que al LAPD, pero con menos recursos y menos presión mediática. No es cuestión de si pasará, es cuestión de cuándo.

Para los testigos y víctimas cuyos datos se comprometieron: hay riesgo real por años. Cambiar número, mudarse, usar alias en redes sociales. No es paranoia. Es realidad.

Fuentes

• TechCrunch — Hackers steal and leak sensitive LAPD police documents (8 de abril de 2026)
• The Record — Breach exposes LAPD files in city attorney systems
• Data Breaches — LAPD police documents breach (abril 2026)
• Distributed Denial of Secrets — archivo de filtraciones públicas y análisis
• Police1 — Sensitive LAPD materials leaked in suspected hack