• 2/6/2026
ALERTA

OnlyFans bajo la lupa: alertan por el robo de datos biométricos de millones de usuarios

El creciente tráfico ilegal de información privada expone a miles de argentinos a riesgos de extorsión, acoso digital y daño a su reputación
iProfesional | Tecnología | Ciberdelincuencia
Por iProfesional
02/06/2026 - 18:30hs
OnlyFans bajo la lupa: alertan por el robo de datos biométricos de millones de usuarios

OnlyFans maneja información ultra sensible de 170 millones de usuarios en todo el mundo. La plataforma, que nació en 2016 como espacio para creadores de contenido, conecta hoy a más de 2 millones de productores con sus suscriptores mediante un modelo de pago directo. El confinamiento por la pandemia de coronavirus aceleró su crecimiento exponencial. Pero ese salto masivo trajo consigo un problema crítico: la exposición de datos personales e íntimos a nivel industrial.

Tal como informó el periodista César Dergarabedian en EconomiaSustentable.com, en Argentina la crisis económica empuja a miles de jóvenes hacia estas plataformas globales como alternativa laboral visible. El problema es que cuando un usuario pierde el control de sus datos en OnlyFans, las consecuencias van mucho más allá de lo económico: se destruyen carreras profesionales, se quiebran vínculos afectivos y se daña la salud mental de forma irreversible.

La protección de la información no es un trámite técnico. Es un pilar fundamental para asegurar trabajo digital seguro y digno.

Los debates recientes sobre la infraestructura de OnlyFans exponen una urgencia: examinar de raíz los riesgos de privacidad que enfrentan tanto creadores como consumidores.

Alerta por robo de datos en OnlyFans: la supuesta filtración que encendió las alarmas

Según publicó EconomiaSustentable.com, el pasado 25 de mayo, un mensaje en foros de la internet profunda puso en alerta a expertos en seguridad informática de todo el mundo.

Un cibercriminal identificado como "Euphoric_Reply_5727" afirmó vender una base de datos con cerca de 340 millones de registros vinculados a OnlyFans. El anuncio causó pánico inmediato.

El paquete ofrecido incluía datos ultra sensibles:

  • Nombres de usuario e identidades reales
  • Correos electrónicos y números de teléfono
  • Fechas de registro y estadísticas de actividad
  • Cantidad de seguidores e interacciones
  • Volumen de videos publicados
  • Redes sociales vinculadas
  • Datos parciales de tarjetas de pago

La posibilidad de conectar identidades reales con hábitos de consumo o creación de contenido íntimo generó preocupación global.

Tal como informó EconomiaSustentable.com, las auditorías de firmas especializadas detectaron inconsistencias graves. La información venía en formato de texto plano, estructura que difiere completamente de las bases de datos modernas.

La muestra del atacante solo contenía diez registros completos. Los investigadores confirmaron que los nombres pertenecían a cuentas reales y públicas, pero los correos electrónicos no figuraban como activos en la plataforma.

Los casilleros de teléfonos y enlaces secundarios estaban vacíos o con datos inventados.

Más tarde, el propio atacante admitió en privado que no vulneró los servidores de OnlyFans. En su lugar, recolectó filtraciones viejas de servicios como X, Instagram y Spotify, y cruzó esos datos con perfiles públicos de OnlyFans para vender el producto como un ataque nuevo y grave.

La compañía desmintió el hackeo de forma oficial. Pero el episodio evidenció un riesgo real: la "agregación de datos".

Es una estrategia donde los delincuentes juntan filtraciones pasadas de múltiples servicios para fabricar bases de datos aparentemente nuevas.

Aun con estas dudas técnicas, la sola presencia de correos vinculados a OnlyFans representa un peligro concreto. Los atacantes usan estos datos para campañas de estafa y extorsión altamente dirigidas.

Cómo roban cuentas sin hackear la plataforma: el mercado negro de credenciales

El caso de mayo de 2026 reavivó una discusión fundamental sobre la crisis de las credenciales robadas.

Es crucial separar conceptos: el robo de contraseñas no implica necesariamente un hackeo directo a la estructura de una empresa.

El compromiso de accesos ocurre cuando las claves de un usuario son sustraídas desde su propio equipo. No hay intrusión en servidores centrales.

Hoy en día, la suplantación de identidad representa un porcentaje altísimo de los incidentes informáticos a nivel global.

La expansión de los "infostealers" cambió el mapa de riesgos en la web. Son programas maliciosos diseñados específicamente para el robo masivo de información.

Estos virus operan de forma oculta en computadoras y celulares. Roban claves guardadas, cookies de sesión, correos, billeteras virtuales y códigos de autenticación.

Hace poco, expertos en seguridad hallaron una base de datos expuesta con más de 149 millones de credenciales obtenidas por infostealers. Miles de esas cuentas correspondían a OnlyFans. Este método permite a los delincuentes entrar a perfiles de forma directa, sin forzar ninguna puerta en los servidores de la plataforma.

A esto se suma el "credential stuffing", una técnica automatizada que prueba contraseñas viejas en sitios nuevos. Aprovecha una costumbre nociva y extendida: usar la misma clave en múltiples aplicaciones.

Si una persona repite su contraseña de Spotify en OnlyFans, un hackeo menor en la primera plataforma compromete de inmediato su cuenta financiera en la segunda.

Datos biométricos en manos de terceros: el conflicto legal argentino

Para cumplir con leyes contra el lavado de dinero y validar mayoría de edad, OnlyFans exige un control de identidad estricto.

Quien desee abrir una cuenta de creador debe aportar:

  • Nombre legal completo
  • Datos bancarios verificables
  • Copia de documento oficial
  • Foto en vivo (selfie de verificación)

A los suscriptores también se les pide verificar su edad mediante sistemas externos.

Esta tarea recae en proveedores tecnológicos como la empresa Shufti Pro. En este proceso, el usuario entrega su identificación oficial y un video corto.

Los algoritmos de Shufti Pro analizan estos archivos mediante reconocimiento facial y pruebas de vitalidad para descartar fotos fijas o máscaras.

También detectan fraudes digitales y extraen texto mediante sistemas ópticos avanzados.

En el plano legal argentino, esto se encuadra en la Ley de Protección de Datos Personales (N° 25.326).

La norma local determina que las características biométricas son datos sensibles. Identifican de forma única a un individuo mediante sus rasgos físicos o fisiológicos.

Por este motivo, su recolección exige el consentimiento libre, expreso e informado de la persona, y nadie está obligado a entregarlos sin que existan restricciones legales severas para crear archivos que los guarden.

La permanencia de estos registros en manos de terceros abre un conflicto normativo grave. Shufti Pro indica en sus políticas que puede conservar los datos biométricos por tiempo indefinido para prevenir fraudes.

Esta política choca directamente con la ley argentina. La norma da al ciudadano el derecho de exigir la eliminación o actualización de sus registros en un plazo de cinco días hábiles.

El avance de la inteligencia artificial suma un peligro inédito. Estudios recientes demuestran que ya es posible extraer huellas dactilares a partir de fotos comunes tomadas a metro y medio de distancia. Si un delincuente roba las imágenes en alta resolución almacenadas por OnlyFans o sus proveedores, podría replicar rostros y huellas con precisión milimétrica.

Estas copias artificiales son capaces de vulnerar sistemas de seguridad externos, como las aplicaciones bancarias, con efectos devastadores. Con la Ley de Protección de Datos Personales en debate, los vacíos legales actuales profundizan la vulnerabilidad de quienes participan de la economía digital.

Las fallas internas documentadas que expusieron datos de usuarios

El recelo de los usuarios ante rumores de hackeos no es casualidad. La plataforma arrastra fallas documentadas en su seguridad. Uno de los episodios más graves ocurrió en octubre de 2021.

Una pesquisa del medio Motherboard reveló que antiguos empleados de OnlyFans mantuvieron acceso a Zendesk (la plataforma de soporte técnico) mucho tiempo después de su desvinculación.

Mediante estas cuentas fantasma, era posible revisar documentación confidencial de los clientes adjunta en reclamos.

Había datos de tarjetas, extractos bancarios, nombres, direcciones, correos, fotos de documentos y las mismas imágenes de verificación de identidad.

Este error organizativo refleja una de las flaquezas más habituales de la tecnología global: la falta de rigor para dar de baja los accesos del personal que se retira.

Para quienes trabajan en la industria del entretenimiento para adultos, la revelación de su identidad legal conlleva un riesgo directo de acoso y persecución social.

El impacto humano que va más allá de lo digital

La presunta filtración de 340 millones de registros asociados a usuarios de OnlyFans "volvió a poner sobre la mesa una verdad incómoda: el verdadero miedo no siempre es perder plata. Muchas veces es perder privacidad", advirtió ante Economía Sustentable Magalí Dos Santos, directora general ejecutiva de la empresa EDS Informática.

Esta ingeniera informática especializada en ciberseguridad señaló que "a nadie le quita el sueño que se filtre el historial del supermercado".

Sin embargo, planteó estas preguntas: "¿Qué pasa si se filtra qué contenido consumís? ¿A quién seguís? ¿Qué pagás? ¿Con quién hablás? ¿O qué hacés en una plataforma que pensabas que era privada? Ahí cambia todo".

"Una cosa es que te roben la tarjeta, otra muy distinta es que aparezcan expuestos consumos, suscripciones, perfiles ocultos, conversaciones, relaciones paralelas, fantasías, fetiches o identidades detrás de cuentas anónimas. Y ahí aparecen la vergüenza, las explicaciones incómodas y el clásico: 'No es lo que parece'", apuntó Dos Santos.

La especialista en seguridad digital observó que "hay otra cara de esta historia de la que casi no se habla. No solo están expuestos quienes consumen. También quienes crean".

En este caso entran "modelos, influencers, actrices, actores, figuras públicas y hasta perfiles con vida profesional completamente ajena a este mundo que monetizan contenido para adultos o exclusivo, muchas veces en paralelo y con identidades separadas para evitar impacto reputacional", describió.

"Porque no siempre se anuncia públicamente. Muchas veces ocurre 'por detrás', bajo otros nombres, cuentas secundarias o perfiles anónimos", recordó Dos Santos.

"Una filtración puede derribar esa barrera en segundos. Si se exponen fotos, videos, conversaciones, datos de pago o la vinculación entre una identidad pública y una cuenta privada, el daño puede ser enorme: reputacional, laboral, familiar y emocional. Y ahí el riesgo deja de ser digital. Se vuelve humano", advirtió.

Dos Santos recomendó las siguientes acciones para resguardar datos personales y prevenir peligros en OnlyFans y otras plataformas sociales basadas en Internet:

  • No repetir contraseñas entre diferentes servicios
  • Activar la doble autenticación en todas las cuentas
  • Revisar sesiones y dispositivos conectados periódicamente
  • Evitar guardar material sensible en la nube sin protección
  • Cambiar claves ante cualquier sospecha de filtración o cada tres meses
  • No vincular cuentas sensibles con redes sociales personales o profesionales
  • Para creadores: separar identidades digitales, métodos de pago y dispositivos cuando sea posible
  • Desactivar geolocalización y eliminar metadatos de fotos y videos antes de subir contenido
  • Evitar guardar material íntimo o exclusivo en galerías sincronizadas automáticamente con la nube

"Hoy el riesgo ya no es solamente que entren a una cuenta. El riesgo es que conecten las piezas; que una identidad privada se una con una pública; que un perfil anónimo deje de ser anónimo; que una actividad paralela salga a la luz. Y en Internet, una vez expuesto, volver atrás no es una opción", concluyó.

Temas relacionados
ciberseguridad phishing