Substack, una de las plataformas de newsletters más populares, ha comenzado a notificar a sus usuarios sobre una filtración de datos que expuso direcciones de correo electrónico, números de teléfono y metadatos internos de cuentas. Según la compañía, el ataque se produjo en octubre de 2025 y se detectó meses después, a principios de febrero, lo que plantea preguntas relevantes sobre los controles de seguridad y los tiempos de detección de incidentes.
Alcance de la brecha de datos en Substack y postura oficial
En una comunicación dirigida a las cuentas afectadas, el director ejecutivo de Substack indicó que un tercero no autorizado accedió a un “conjunto limitado de datos de usuarios”. La empresa insiste en que no se han visto comprometidas contraseñas ni datos financieros como números de tarjeta o información bancaria, y que no hay evidencias de robo de credenciales en texto claro.
Sin embargo, en el conocido foro de ciberdelincuencia BreachForums ya circula un volcado de 697.313 registros presuntamente vinculados a Substack. El autor de la publicación asegura que la información se obtuvo mediante scraping automatizado y reconoce que el método fue “ruidoso”, lo que sugiere un volumen muy alto de peticiones al servicio en un corto periodo de tiempo.
Qué datos de Substack habrían quedado expuestos
De acuerdo con la versión oficial, la filtración incluye:
— Direcciones de correo electrónico asociadas a cuentas de Substack;
— Números de teléfono vinculados a los perfiles;
— Metadatos de cuenta, es decir, información técnica sobre creación de la cuenta, configuración de suscripciones y parámetros de uso de la plataforma.
Aunque el incidente no exponga contraseñas, la combinación de e‑mail, teléfono y metadatos de actividad resulta muy valiosa para campañas de fraude. Con estos datos es posible perfilar con precisión a los usuarios y lanzar ataques dirigidos de phishing e ingeniería social, simulando comunicaciones legítimas de Substack o de autores concretos.
Scraping y vulnerabilidades en API: cómo puede producirse una filtración
Substack no ha publicado detalles técnicos sobre el fallo explotado, más allá de afirmar que la vulnerabilidad ha sido corregida y que se están realizando revisiones adicionales de seguridad. La referencia en BreachForums al scraping apunta a un escenario típico: un actor malicioso automatiza solicitudes contra la plataforma para extraer información a gran escala.
De scraping “público” a fuga de datos personales
En condiciones normales, el scraping se limita a datos ya visibles de forma pública (por ejemplo, el nombre de un boletín o la descripción de un perfil). El problema surge cuando existen fallos de lógica en la API, controles de acceso defectuosos o autenticación insuficiente, que permiten consultar información más sensible que no debería estar expuesta a usuarios anónimos o no autorizados.
La mención a un método “ruidoso” indica probablemente miles o millones de peticiones similares enviadas en poco tiempo. En entornos maduros, este patrón debería ser detectado por sistemas de monitorización, analítica de comportamiento y registro detallado de solicitudes. Informes como el de Verizon Data Breach Investigations Report muestran que la explotación de errores en API y configuraciones incorrectas de acceso está detrás de una proporción creciente de filtraciones en servicios web y SaaS.
Riesgos reales para los usuarios: phishing, smishing e ingeniería social
Aun sin contraseñas filtradas, las consecuencias para los usuarios de Substack pueden ser significativas. Este tipo de conjuntos de datos se emplean habitualmente para:
— Campañas de phishing por correo electrónico, suplantando a Substack, a autores de newsletters o incluso a entidades bancarias, con enlaces a páginas falsas que roban credenciales;
— Ataques de smishing (phishing mediante SMS o mensajería instantánea), buscando obtener códigos de un solo uso, datos de tarjeta o inducir al usuario a instalar malware;
— Ingeniería social avanzada, donde los atacantes utilizan los metadatos (fecha de alta, temas seguidos, idioma, etc.) para elaborar mensajes más creíbles y personalizados.
Los informes de organismos como ENISA y el propio Verizon DBIR coinciden en que el phishing sigue siendo uno de los vectores iniciales más habituales en incidentes de ciberseguridad, por delante de muchos exploits técnicos complejos. Por ello, incluso una filtración “limitada” a datos de contacto puede desencadenar cadenas de ataque muy efectivas.
Una señal de alarma para plataformas de newsletters y antecedentes de Substack
No es la primera vez que la privacidad de los usuarios de Substack genera preocupación. En 2020, un error en una comunicación sobre la política de privacidad provocó que direcciones de correo de varios usuarios se incluyeran en el campo “Para” en lugar de “Copia oculta (BCC)”, exponiendo las direcciones entre sí. Aunque la naturaleza del incidente actual es distinta, ambos casos subrayan la importancia de una gestión rigurosa de datos personales en servicios de comunicación masiva.
Recomendaciones de ciberseguridad para usuarios y servicios online
Para los usuarios de Substack y de plataformas similares, resultan especialmente relevantes las siguientes medidas:
— Desconfiar de correos y SMS inesperados que aparenten proceder de Substack, bancos u otros servicios, especialmente si solicitan datos o urgencia en la acción;
— No hacer clic directamente en enlaces recibidos por e‑mail o SMS; es preferible escribir manualmente la dirección del servicio en el navegador;
— Activar la autenticación de dos factores (2FA) siempre que esté disponible y utilizar contraseñas únicas y robustas, idealmente gestionadas con un gestor de contraseñas;
— Vigilar actividades inusuales vinculadas a su e‑mail y número de teléfono, como registros inesperados en nuevos servicios o envío de spam desde su dirección.
Para las propias plataformas digitales, este incidente refuerza la necesidad de auditar periódicamente la seguridad de las API, implementar sistemas de detección de anomalías en tiempo real y disponer de procesos claros y transparentes de notificación de incidentes a los usuarios. La filtración en Substack demuestra que, incluso sin comprometer contraseñas o datos financieros, la exposición de datos de contacto y metadatos de cuentas basta para alimentar sofisticadas campañas de fraude. Adoptar un enfoque proactivo —formación continua, revisión periódica de configuraciones de seguridad y escepticismo ante cualquier petición de datos personales— es hoy una de las defensas más eficaces tanto para organizaciones como para individuos.
