Los legisladores estatales son figuras públicas muy visibles en los EE. UU., responsables de elaborar presupuestos estatales multimillonarios, manejar información privilegiada y comunicarse con sus electores.

Según una nueva investigación de Proton, sus direcciones de correo electrónico y contraseñas también son muy visibles.

Hemos estado investigando las prácticas de ciberseguridad de los políticos de todo el mundo durante más de un año. Nuestra última ronda de investigación descubrió que el 67 % de los legisladores estatales de EE. UU. se han visto afectados por vulneraciones de datos vinculadas a sus direcciones de correo electrónico públicas al menos una vez.

Comprueba si los funcionarios de tu gobierno tienen datos en la dark web

Identificamos más de 16.000 registros de vulneraciones asociados con direcciones de correo electrónico públicas en 49 estados. Más de 12.000 casos involucraron información de identificación personal (PII), que se puede utilizar para identificar, vigilar y lanzar estafas de suplantación contra personas. Para agravar estos riesgos, se descubrieron 560 contraseñas en texto plano: con una contraseña en texto plano, los hackers pueden acceder a cuentas personales que pertenecen a legisladores y, potencialmente, abrirse camino hasta cuentas gubernamentales oficiales.

En nuestros informes no se comparte ninguna información de identificación y hemos notificado a cada político afectado.

Las exposiciones se deben a errores humanos, no a ataques externos

En lugar de ataques dirigidos de naciones en conflicto con los Estados Unidos, estas exposiciones son impulsadas por legisladores que usan sus correos electrónicos oficiales del gobierno para registrarse en servicios como LinkedIn, Adobe y Dropbox. Estos servicios de terceras partes se han visto afectados por vulneraciones de datos, lo que ha provocado exposiciones para los funcionarios del gobierno.

Desafortunadamente, esta difuminación de los límites entre las cuentas personales y comerciales es común en los lugares de trabajo modernos. Puede tener graves repercusiones para empresas de cualquier tamaño en cualquier sector, pero los políticos con acceso a servicios y datos gubernamentales confidenciales tienen un modelo de amenaza mucho mayor que un ciudadano medio.

“Los datos muestran que esto se trata menos de incidentes aislados y más de cómo se acumula el riesgo digital a lo largo del tiempo”, dijo Eamonn Maguire, Jefe de Seguridad de la Cuenta en Proton. “Incluso el uso normal y cotidiano de servicios online puede crear una exposición a largo plazo. Cuando hay direcciones de correo electrónico oficiales involucradas, ese riesgo se extiende más allá del individuo a las instituciones que representa”.

La Estrategia Cibernética para Estados Unidos(ventana nueva) del presidente Trump, publicada en marzo de 2026, señala que el gobierno de EE. UU. “actuará con rapidez, deliberadamente y de forma proactiva para desactivar las amenazas cibernéticas a Estados Unidos”. Parece que este esfuerzo podría verse socavado por sus propios legisladores, que se están volviendo vulnerables a los ciberataques.

El comportamiento online es inconsistente entre los estados

Parece que las prácticas de seguridad online no son consistentes entre los gobiernos de los diferentes estados. Nuestra investigación reveló una amplia gama de comportamientos en 49 estados:

  • El 100 % de los legisladores en Arizona y Oklahoma aparecieron en conjuntos de datos de vulneraciones al menos una vez
  • Massachusetts registró el mayor número de vulneraciones en total (816), lo que afectó al 84 % de los funcionarios
  • New Hampshire tuvo el mayor número de contraseñas filtradas (81)
  • Maryland fue el único estado sin vulneraciones registradas
  • Solo cuatro estados tuvieron menos del 50 % de exposición: Florida, Kentucky, Maryland y New Hampshire

El hecho de que el 100 % de los legisladores de dos estados aparecieran en conjuntos de datos de vulneraciones al menos una vez es muy preocupante. Si algún legislador de todo un estado se ha vuelto vulnerable en una vulneración de datos, esto podría tener graves repercusiones para los ciudadanos y su infraestructura pública. El gobierno de EE. UU. es regularmente blanco de ataques lanzados por el Servicio de Inteligencia Exterior de Rusia(ventana nueva) (SVR) y el gobierno chino(ventana nueva). El Departamento de Estado ha lanzado una nueva entidad (ventana nueva)para identificar y responder a las amenazas lanzadas por Irán, China, Rusia, Corea del Norte y organizaciones terroristas extranjeras.

Si los estándares de ciberseguridad no se aplican adecuadamente en el gobierno de EE. UU., esto deja a los ciudadanos estadounidenses injustamente afectados por el comportamiento de sus legisladores. Nadie debería ser más vulnerable a las consecuencias de un ciberataque que podría denegarles servicios gubernamentales esenciales simplemente por el lugar donde viven. Los legisladores de Maryland, el único estado sin vulneraciones registradas, podrían estar en la mejor posición para abogar por estándares más altos dentro del gobierno.

Afrontar las amenazas modernas con una seguridad online moderna

Tener más cuidado online no es solo para personas políticamente expuestas. Cualquiera puede verse afectado por una vulneración de datos, y una vulneración de datos puede tener consecuencias desastrosas sin importar quién seas. La clave es anticiparse a las vulneraciones y planificar en consecuencia, empezando por tu dirección de correo electrónico.

Una dirección de correo electrónico es esencialmente un pasaporte online. Está vinculada a todo lo que haces online, como tus cuentas online, tu historial de compras, tu dirección, tu identificación gubernamental y más. Usando tu dirección de correo electrónico, es fácil identificarte y atacarte con estafas de suplantación que podrían afectarte con pérdidas financieras y fraude de identidad. Tus datos también pueden venderse a corredores de datos para obtener ganancias, lo que lleva a que aún más ciberdelincuentes puedan acceder a ellos.

En lugar de desconectarte de la red, lo cual no es una solución factible en el mundo actual, puedes optar por proteger tu información personal y limitar los lugares donde la compartes.

  • Los alias de correo ocultan tu dirección de correo electrónico personal, permitiéndote crear cuentas e incluso enviar o recibir correos electrónicos sin revelar ninguna información personal. Si un alias de correo aparece en una vulneración de datos, no está conectado a ti, por lo que no puede usarse para obtener más datos sobre ti. Simplemente se puede desactivar, sin causarte ningún daño. Los alias de correo son una excelente solución para quienes buscan proteger sus direcciones de correo electrónico, por lo que los legisladores de los estados de EE. UU. podrían beneficiarse si los consideran.
  • Los gestores de contraseñas son una solución ideal para crear, almacenar y rellenar automáticamente contraseñas. Un gestor de contraseñas cifrado de extremo a extremo garantiza que nadie más que tú pueda acceder a tus datos personales, ni siquiera tu proveedor de gestor de contraseñas. También es posible compartir credenciales de forma segura si lo necesitas, eliminando las prácticas de intercambio inseguras que aumentan el riesgo.
  • La monitorización de la Dark Web te alerta automáticamente si tu información personal aparece en la dark web, y también puede identificar debilidades de la cuenta, como una autenticación de dos factores (2FA) inactiva y contraseñas débiles o reutilizadas.

Todos estos servicios y más están disponibles con Proton Pass. Diseñado por el equipo detrás de un ecosistema que prioriza la privacidad e incluye Proton Mail y Proton VPN, Proton Pass es un gestor de contraseñas seguro que es adecuado para cualquier nivel de experiencia técnica y cualquier requisito de seguridad.

Tanto si eres un ciudadano como un legislador, considera la posibilidad de registrarte para obtener una cuenta de Proton Pass Plus.