La plataforma de newsletters Substack ha comenzado a avisar a usuarios sobre una intrusión en sus sistemas que, según la compañía, permitió a un tercero acceder a datos limitados en octubre de 2025. Aunque los hechos habrían ocurrido hace meses, la dirección de la empresa indica que la investigación y detección del incidente se produjo mucho más tarde, lo que ha generado inquietud entre creadores y suscriptores.
Según el comunicado público del consejero delegado Chris Best, que compartió detalles en su perfil de BlueSky, la información comprometida incluye direcciones de correo electrónico, números de teléfono y ciertos metadatos internos. Best recalcó que, por ahora, no existe evidencia de que se hayan visto expuestos números de tarjeta, contraseñas o información financiera. Puede leerse su mensaje original en la plataforma donde lo publicó: publicación de Chris Best en BlueSky.
Mientras Substack no ha publicado todavía una cifra oficial de cuentas afectadas, en foros de la escena delictiva cibernética apareció esta semana un volcado que, según su autor, contiene 697.313 registros supuestamente extraídos de la plataforma. El presunto atacante también afirma haber empleado una técnica de raspado que resultó «ruidosa» y que, tras detectarse, fue bloqueada con rapidez. En este tipo de casos es habitual que las cifras y la veracidad de los datos sean objeto de verificación independiente; por ese motivo la compañía mantiene abierta la investigación.
El retraso entre la fecha del acceso (octubre) y la fecha de detección genera dos preguntas centrales: por un lado, qué vulnerabilidad permitió la extracción de datos y si ya fue corregida; por otro, qué controles internos fallaron en la monitorización y en la respuesta temprana. Substack ha comunicado que la falla que permitió el acceso ya fue corregida, y ha alertado a los usuarios sobre el posible aumento de intentos de suplantación (phishing) dirigidos con las direcciones y números obtenidos.
Que no se hayan robado contraseñas o información financiera no elimina el riesgo. Con correos electrónicos y teléfonos es posible orquestar campañas de engaño más convincentes: mensajes que aparenten venir de Substack, solicitudes de verificación, ofertas falsas o enlaces que instalen malware. Por eso la compañía ha recomendado extremar la precaución ante mensajes sospechosos y verificar siempre remitentes y URLs antes de interactuar.
Si eres suscriptor o creador en Substack, lo prudente ahora es extremar la vigilancia sobre comunicaciones entrantes y seguir buenas prácticas de seguridad. Aunque la propia Substack dice no tener indicios de uso indebido de los datos, conviene desconfiar de mensajes urgentes que pidan clics, contraseñas o códigos, y confirmar cualquier solicitud por canales oficiales. Para orientación práctica sobre cómo reconocer y responder a intentos de phishing, las autoridades de ciberseguridad ofrecen guías útiles: por ejemplo, la Agencia de Seguridad Cibernética de Estados Unidos (CISA) dispone de recursos sobre phishing en https://www.cisa.gov/phishing, y la Comisión Federal de Comercio (FTC) publica consejos sobre qué hacer tras una filtración de datos en https://www.consumer.ftc.gov/articles/data-breaches.
Este episodio también reaviva una discusión más amplia: la responsabilidad de las plataformas que alojan contenidos y manejan grandes listas de suscriptores. Substack, lanzada en 2017 y que se ha convertido en un refugio para periodistas y creadores independientes, ha tenido incidentes previos relacionados con la gestión de correos electrónicos; en 2020 hubo un error administrativo que expuso direcciones de usuarios en una comunicación masiva, un fallo que la propia empresa reconoció públicamente en su momento mediante una publicación en redes sociales (tuiteo de Substack sobre la exposición de 2020). Situaciones repetidas, incluso cuando los datos comprometidos son relativamente limitados, erosionan la confianza y obligan a revisar medidas técnicas y organizativas.
Desde la perspectiva de un creador de contenido en la plataforma, la filtración plantea riesgos reputacionales y operativos: cualquier ataque de phishing dirigido a una lista de suscriptores puede asociarse erróneamente con el remitente legítimo, dañando la relación con la audiencia. Para paliarlo, los autores pueden reforzar mensajes informativos a su comunidad, explicar qué está pasando y ofrecer maneras seguras de verificar comunicaciones (por ejemplo, confirmando URLs oficiales y recordando que la plataforma nunca pide contraseñas por correo).
En el plano técnico, la enseñanza habitual tras este tipo de incidentes es doble: mejorar la observabilidad de los sistemas para detectar comportamiento anómalo lo antes posible, y aplicar controles que minimicen la cantidad de datos accesibles en caso de fallo. La segregación de datos, el registro detallado de accesos y alertas basadas en patrones inusuales son prácticas que ayudan a acortar el tiempo entre una intrusión y su detección.
Substack aún debe ofrecer más detalles sobre cómo ocurrió exactamente la filtración, cuántos usuarios resultaron afectados y qué medidas adicionales tomará para prevenir nuevos incidentes. Mientras tanto, los usuarios deben mantenerse alerta, verificar la autenticidad de comunicaciones vinculadas a la plataforma y recurrir a fuentes oficiales para confirmar cualquier petición extraña. Para consultar información periodística y actualizaciones técnicas sobre el hecho, medios especializados en seguridad informática suelen cubrir este tipo de filtraciones; el portal BleepingComputer y otros medios tecnológicos serán puntos de referencia a medida que avance la investigación.
La tecnología que facilita la independencia de creadores también implica una gran responsabilidad en la gestión de datos personales. Este caso recuerda que, además de contar con buenas funciones para publicar y monetizar contenido, las plataformas deben invertir constantemente en seguridad y transparencia. Y para los usuarios, la máxima sigue siendo la misma: educarse en ciberseguridad y adoptar hábitos que reduzcan la superficie de ataque, porque los datos que hoy pueden parecer "solo" direcciones y teléfonos son la materia prima con la que se fabrican muchas estafas digitales.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...
PinTheft el exploit público que podría darte root en Arch Linux
Un nuevo exploit público ha llevado a la superficie otra vez la fragilidad del modelo de privilegios en Linux: el equipo de V12 Security bautizó la falla como PinTheft y publicó...