Los legisladores estatales son figuras públicas muy visibles en EE. UU., responsables de elaborar presupuestos estatales multimillonarios, manejar información privilegiada y comunicarse con los electores.

Según una nueva investigación de Proton, sus direcciones de correo electrónico y contraseñas también son muy visibles.

Llevamos más de un año investigando las prácticas de ciberseguridad de políticos de todo el mundo. Nuestra última ronda de investigación encontró que el 67% de los legisladores estatales de EE. UU. han sido afectados por vulneraciones de datos enlazadas a sus direcciones de correo electrónico públicas al menos una vez.

Vea si sus funcionarios gubernamentales tienen datos filtrados en la web oscura

Identificamos más de 16,000 registros de vulneraciones asociados con direcciones de correo electrónico públicas en 49 estados. Más de 12,000 casos involucraron información de identificación personal (PII), que se puede utilizar para identificar, vigilar y lanzar estafas de suplantación contra individuos. A estos riesgos se suma el hecho de que se descubrieron 560 contraseñas en texto plano: con una contraseña en texto plano, los piratas informáticos pueden acceder a cuentas personales que pertenecen a legisladores y potencialmente abrirse camino hacia las cuentas gubernamentales oficiales.

No se comparte información de identificación en nuestro informe y hemos notificado a cada político afectado.

Las exposiciones provienen de errores humanos, no de ataques externos

En lugar de ataques dirigidos de naciones en conflicto con los Estados Unidos, estas exposiciones son impulsadas por legisladores que usan sus correos electrónicos oficiales del gobierno para registrarse en servicios como Linkedin, Adobe y Dropbox. Estos servicios de terceros se han visto afectados por vulneraciones de datos, lo que ha llevado a exposiciones para los funcionarios gubernamentales.

Desafortunadamente, esta difuminación de los límites entre las cuentas personales y comerciales es común en los lugares de trabajo modernos. Puede tener graves ramificaciones para empresas de cualquier tamaño en cualquier industria, pero los políticos que pueden acceder a servicios y datos gubernamentales sensibles tienen un modelo de amenaza mucho más alto que un ciudadano promedio.

“Los datos muestran que esto se trata menos de incidentes aislados y más de cómo el riesgo digital se acumula con el tiempo”, dijo Eamonn Maguire, Jefe de Seguridad de la Cuenta en Proton. “Incluso el uso normal y cotidiano de los servicios en línea puede crear exposición a largo plazo. Cuando se involucran direcciones de correo electrónico oficiales, ese riesgo se extiende más allá del individuo a las instituciones que representan.”

La Estrategia Cibernética para Estados Unidos(nueva ventana) del presidente Trump, publicada en marzo de 2026, señala que el gobierno de EE. UU. “actuará con rapidez, deliberadamente y proactivamente para desactivar las amenazas cibernéticas a Estados Unidos”. Parece que este esfuerzo puede verse socavado por sus propios legisladores, que se están dejando vulnerables a los ciberataques.

El comportamiento en línea es inconsistente entre los estados

Parece que las prácticas de seguridad en línea no son consistentes en los gobiernos de los diferentes estados. Nuestra investigación reveló una amplia gama de comportamientos en 49 estados:

  • El 100% de los legisladores en Arizona y Oklahoma aparecieron en conjuntos de datos de vulneraciones al menos una vez
  • Massachusetts registró el mayor total de vulneraciones (816), impactando al 84% de los funcionarios
  • New Hampshire tuvo el mayor número de contraseñas filtradas (81)
  • Maryland fue el único estado sin vulneraciones registradas
  • Solo cuatro estados tuvieron menos del 50% de exposición: Florida, Kentucky, Maryland y New Hampshire

El hecho de que el 100% de los legisladores en dos estados aparecieran en conjuntos de datos de vulneraciones al menos una vez es muy preocupante. Si cualquier legislador en todo un estado ha sido hecho vulnerable en una vulneración de datos, esto podría tener graves ramificaciones para los ciudadanos y su infraestructura pública. El gobierno de EE. UU. es regularmente blanco de ataques lanzados por el Servicio de Inteligencia Exterior de Rusia(nueva ventana) (SVR) y el gobierno chino(nueva ventana). El Departamento de Estado ha lanzado una nueva entidad (nueva ventana)para identificar y responder a las amenazas lanzadas por Irán, China, Rusia, Corea del Norte y organizaciones terroristas extranjeras.

Si los estándares de ciberseguridad no se aplican adecuadamente en todo el gobierno de EE. UU., esto deja a los ciudadanos estadounidenses injustamente afectados por el comportamiento de sus legisladores. Nadie debería ser más vulnerable a las consecuencias de un ciberataque que podría denegarles servicios gubernamentales esenciales simplemente por el lugar donde viven. Los legisladores en Maryland, el único estado sin vulneraciones registradas, pueden estar en la mejor posición para abogar por estándares más altos dentro del gobierno.

Hacer frente a las amenazas modernas con seguridad en línea moderna

Tener más cuidado en línea no es solo para personas políticamente expuestas. Cualquiera puede verse afectado por una vulneración de datos, y una vulneración de datos puede tener consecuencias desastrosas sin importar quién sea usted. La clave es anticipar las vulneraciones y planificar en consecuencia, comenzando con su dirección de correo electrónico.

Una dirección de correo electrónico es esencialmente un pasaporte en línea. Está vinculada a todo lo que usted hace en línea, como sus cuentas en línea, su historial de compras, su dirección, su identificación gubernamental y más. Al usar su dirección de correo electrónico, es fácil identificarlo y atacarlo con estafas de suplantación que podrían hacer que se vea afectado por pérdidas financieras y fraude de identidad. Sus datos también pueden venderse a corredores de datos para obtener ganancias, lo que lleva a que aún más ciberdelincuentes puedan acceder a ellos.

En lugar de desconectarse por completo, lo cual no es una solución factible en el mundo actual, usted puede elegir proteger su información personal y limitar los lugares donde la proporciona.

  • Los alias de correo ocultan su dirección de correo electrónico personal, permitiéndole crear cuentas e incluso enviar o recibir correos electrónicos sin revelar ninguna información personal. Si un alias de correo aparece en una vulneración de datos, no está conectado a usted, por lo que no puede usarse para obtener más datos sobre usted. Simplemente puede desactivarse, sin causarle ningún daño. Los alias de correo son una excelente solución para aquellos que buscan proteger sus direcciones de correo electrónico, por lo que los legisladores estatales de EE. UU. podrían beneficiarse al considerarlos.
  • Los gestores de contraseñas son una solución ideal para crear, almacenar y autocompletar contraseñas. Un gestor de contraseñas cifrado de extremo a extremo garantiza que nadie pueda acceder a sus datos personales excepto usted, ni siquiera el proveedor de su gestor de contraseñas. También es posible compartir credenciales de forma segura si lo necesita, eliminando las prácticas inseguras de uso compartido que aumentan el riesgo.
  • El monitoreo de la dark web le alerta automáticamente si su información personal aparece en la dark web, y también puede identificar debilidades en la cuenta, como la autenticación de dos factores (2FA) inactiva y contraseñas débiles o reutilizadas.

Todos estos servicios y más están disponibles con Proton Pass. Diseñado por el equipo detrás de un ecosistema que prioriza la privacidad, el cual incluye Proton Mail y Proton VPN, Proton Pass es un gestor de contraseñas seguro que es adecuado para cualquier nivel de experiencia técnica y cualquier requisito de seguridad.

Ya sea que usted sea un ciudadano o un legislador, considere registrarse para obtener una cuenta de Proton Pass Plus.