El sistema de acceso del Metro de Caracas volvió a demostrar que no solo falla en trenes y electricidad, sino también en algo tan básico como proteger los datos de sus usuarios: un ciberataque habría comprometido información personal, patrones de movilidad y ubicaciones de millones de personas que usan el sistema automatizado de cobro. En un video reciente, el especialista en ciberseguridad Giuseppe Gangi explicó que los atacantes no solo obtuvieron nombres y registros, sino también las rutinas diarias asociadas a las tarjetas, es decir, los trayectos, horarios y estaciones que cada usuario recorre habitualmente.
Gangi detalla que el sistema de cobro y control de acceso concentra en una misma base de datos la identidad del usuario, el número de tarjeta y el historial de movimientos, lo que convierte a esa información en un mapa completo de la vida cotidiana de millones de caraqueños. Cada registro de entrada y salida en los torniquetes permite reconstruir a qué hora una persona sale de su casa, qué estación usa para ir al trabajo, cuánto tarda en regresar y qué rutas alternativas toma cuando hay fallas, creando un perfil extremadamente sensible desde el punto de vista de seguridad y privacidad.
El ciberactivista alerta que, en manos equivocadas, esos datos pueden servir para algo más que estadísticas de transporte. Saber a qué hora una persona suele entrar y salir de determinadas estaciones puede facilitar desde robos selectivos y secuestros hasta seguimiento político, persecución de activistas y vigilancia de líderes sociales o sindicales que usan el Metro como principal medio de transporte. En un país donde la inteligencia del Estado ha sido señalada por monitorear a opositores y disidentes, el posible acceso a una base de datos así multiplica los riesgos.
El especialista vincula este episodio con un patrón de vulnerabilidades y ataques previos a infraestructuras críticas en Venezuela. En 2025, Gangi ya había denunciado una filtración masiva de datos personales de migrantes venezolanos en el portal Migrantes.com.ve, donde quedaron expuestos nombres, documentos de identidad, direcciones y otra información sensible por fallas en la seguridad y falta de cifrado adecuado. A su juicio, el caso del Metro de Caracas repite el mismo esquema: sistemas públicos que manejan datos críticos, sin auditorías serias, con protocolos obsoletos y con escasas o nulas medidas de protección modernas.
El gobierno, por su parte, viene presentando desde 2024 una narrativa de “ataque cibernético” permanente contra servicios como el propio Metro y la aerolínea Conviasa. El ministro de Transporte, Ramón Velásquez Araguayán, denunció en agosto de ese año que hacktivistas de Anonymous habían atacado el sistema de cobro del Metro de Caracas y de otros sistemas de transporte masivo, generando colapsos en el servicio, aunque aseguró que “se resguardó la información” y se restableció la recarga de tarjetas. La nueva filtración descrita por Gangi pone en duda la solidez de ese supuesto resguardo y deja la sensación de que, más allá del discurso oficial, las brechas siguen abiertas.
El video también subraya la falta de transparencia institucional frente a este tipo de incidentes. Hasta ahora, no se conocen comunicados detallados del Metro de Caracas explicando el alcance del ataque, qué datos se comprometieron, qué medidas se han tomado para contener la filtración ni qué mecanismos de notificación a los usuarios se activarán, como exigen los estándares mínimos en materia de protección de datos personales. En otros países, una brecha de este calibre implicaría investigaciones, sanciones a responsables, exigencia de auditorías independientes y, en muchos casos, la obligación de contactar uno a uno a los afectados; en Venezuela, reina el silencio institucional.
En su análisis, Gangi insiste en que el problema no es solo tecnológico, sino político y de gestión. Un sistema de transporte masivo que opera en una ciudad de más de cuatro millones de habitantes no puede seguir funcionando con bases de datos sin cifrado robusto, sin segmentación adecuada y sin controles de acceso estrictos, menos aún en un contexto de crisis económica y autoritarismo donde los datos pueden convertirse en arma. Dejar ese volumen de información sin protección o bajo estándares mínimos equivale, dice, a dejar “las llaves de la ciudad” en la puerta de un servidor vulnerable.
El episodio también reabre el debate sobre la ausencia de una ley seria de protección de datos personales en Venezuela y sobre la responsabilidad del Estado como custodio de información sensible. Mientras otros países establecen marcos claros de tratamiento, almacenamiento y notificación de brechas de seguridad, en el país sigue predominando un vacío legal que permite a instituciones públicas y privadas manejar datos sin supervisión independiente y sin consecuencias claras cuando se vulnera la privacidad de los ciudadanos. La filtración en el Metro de Caracas se suma a una lista creciente de incidentes que evidencian ese vacío.
En redes sociales, usuarios y especialistas han amplificado el contenido del video con advertencias prácticas para quienes usan el sistema de transporte. Algunas de las recomendaciones van desde evitar asociar las tarjetas a datos más allá de lo imprescindible hasta estar atentos a posibles patrones de seguimiento y a mensajes o llamadas sospechosas que puedan apoyarse en información de movimientos cotidianos. Otros usuarios reclaman directamente la desactivación de las bases de datos comprometidas y la sustitución progresiva de tarjetas por sistemas más seguros, algo que luce complejo en medio de la precariedad financiera del Estado.
Al final, el hackeo del Metro de Caracas se convierte en un síntoma más de un problema estructural: un país donde servicios vitales como el transporte masivo, la migración o las aerolíneas operan con sistemas débiles, sin cultura de protección de datos y en un contexto político en el que la información personal es, además, un botín valioso. Lo que comenzó como una denuncia técnica de un especialista en ciberseguridad termina siendo una alerta mayor para millones de venezolanos que, además de lidiar con trenes retrasados y estaciones colapsadas, ahora deben preguntarse quién mira, registra y manipula sus pasos cada vez que pasan la tarjeta por un torniquete del Metro.