El incidente fue confirmado por la Canadian Investment Regulatory Organization (CIRO) -el organismo autorregulador que supervisa a los intermediarios de inversión en Canadá-, tras una investigación forense que reveló la exposición de información personal y financiera sensible.
La Organización Canadiense de Regulación de Inversiones (CIRO, por su sigla en inglés), el organismo responsable de supervisar a los distribuidores de inversiones y fondos mutuos en Canadá, confirmó recientemente que una brecha de datos detectada inicialmente en agosto de 2025 afectó aproximadamente a 750 mil inversionistas en todo el país. Según la entidad, la intrusión fue consecuencia de un sofisticado ciberataque de phishing que permitió el acceso no autorizado a su red y a bases de datos que contienen información altamente sensible.
La investigación, que comenzó tras la detección del incidente el 11 de agosto de 2025 y se prolongó por más de 9 mil horas con expertos forenses externos, culminó el 14 de enero de este año con la confirmación del alcance completo de la exposición. CIRO precisó que, aunque no se comprometieron contraseñas ni credenciales de acceso, los atacantes accedieron a datos personales que incluyen fechas de nacimiento, números de teléfono, números de seguro social, identificaciones gubernamentales, ingresos anuales, números de cuentas de inversión y estados de cuenta.
La organización indicó que no hay evidencia de que la información robada haya sido publicada en la dark web o utilizada de forma maliciosa hasta ahora, y que continúa monitoreando sus sistemas para detectar actividad anómala. CIRO también inició el proceso de notificación directa a las personas afectadas, ofreciendo dos años de monitoreo de crédito y servicios de protección contra el robo de identidad sin costo, a través de agencias especializadas.
CIRO explicó que la información expuesta fue recopilada de forma legítima en el marco de sus funciones regulatorias, como la supervisión de firmas miembro y las investigaciones de cumplimiento normativo. Sin embargo, parte de esos datos permanecían almacenados en sus sistemas debido a procesos de fiscalización en curso o requisitos legales, lo que amplió el impacto del incidente.
El incidente dio lugar a un debate por los datos personales almacenados por el regulador, especialmente en los casos que no administran cuentas directas de inversionistas lo que, para algunos especialistas, abre un ventajoso flanco para los cibercriminales en futuras campañas de phishing.
Así mismo, hubo críticas por la demora en identificar a todas las personas afectadas, lo que también dejó en evidencia una serie de limitaciones en la clasificación, trazabilidad y gestión de la información.
Pese a las críticas, la autoridad canadiense reiteró su compromiso con la transparencia y con el fortalecimiento de sus controles de ciberseguridad.