PornHub extorsionado tras la exposición de datos de actividad de usuarios Premium 👾

Un caso que va mucho más allá del incidente técnico y expone una de las principales debilidades en la gestión de datos personales: la acumulación histórica de información en terceros sin una finalidad vigente, justo cuando la nueva Ley 21.719 comienza a poner responsabilidades reales sobre la mesa.

El caso que involucra a PornHub, Mixpanel y el grupo ShinyHunters toca una fibra especialmente sensible del nuevo marco de protección de datos personales. No tanto por la discusión sobre si existió o no un hackeo directo a la plataforma, sino porque deja al descubierto una práctica mucho más incómoda y extendida de lo que se reconoce públicamente: la conservación prolongada de datos personales en manos de terceros, sin una finalidad vigente ni una relación contractual activa que la justifique.

Las legislaciones modernas en materia de privacidad, incluida la Ley N° 21.719 en Chile, son explícitas en este punto. Los datos personales no pueden almacenarse indefinidamente por conveniencia, por inercia operativa o por un eventual “por si acaso”. Menos aún cuando el vínculo con el proveedor que los procesa terminó hace años. Que los registros expuestos correspondan a 2021 o anteriores no atenúa el problema; al contrario, evidencia una falla estructural en los principios de limitación de finalidad y minimización de datos que la ley busca corregir.

Tampoco resulta especialmente relevante que no se hayan visto comprometidas contraseñas o información financiera. El historial de búsqueda, visualización y comportamiento de una persona es, sin discusión, dato personal. En contextos sensibles, como el consumo de contenido para adultos, ese tipo de información puede generar un daño mayor que la filtración de una tarjeta de crédito. La protección legal no se limita a credenciales técnicas, sino a la expectativa razonable de privacidad que tiene cualquier usuario respecto de su vida digital.

Este episodio vuelve a poner sobre la mesa una realidad que muchas organizaciones prefieren ignorar. Hoy, el mayor riesgo legal y reputacional no siempre proviene del ataque más sofisticado, sino de no saber con precisión qué datos siguen existiendo en proveedores externos, quién puede acceder a ellos y durante cuánto tiempo. Es justamente en ese punto donde la protección de datos deja de ser un concepto teórico, se convierte en un problema concreto y empieza a doler, no solo por las multas.

La Ley 21.719 de protección de datos personales

La Ley N° 21.719 es la nueva ley chilena de protección de datos personales, promulgada en agosto de 2024 y con entrada en vigencia fijada para diciembre de 2026, que reemplaza y moderniza el marco histórico de la Ley 19.628, elevando de forma sustantiva el estándar de protección de la información personal en el país. Aplica a todos los organismos públicos y privados que traten datos personales en Chile o de personas ubicadas en el país, y es especialmente relevante porque reconoce nuevos derechos para los titulares, establece deberes claros de responsabilidad para las organizaciones y habilita un régimen de fiscalización y sanciones que busca que la protección de datos deje de ser declarativa y pase a ser una obligación real, alineando a Chile con los marcos regulatorios más exigentes a nivel internacional.

Equipo vCISO

https://vciso.cloud