CRIM negó vulnerabilidad mientras corregía brecha que expuso un millón de números de Seguro Social
El Centro de Recaudación de Ingresos Municipales (CRIM) dejó accesibles los números de Seguro Social de aproximadamente un millón de personas a través de su mapa interactivo del Catastro Digital; el Centro de Periodismo Investigativo y ProPublica notificaron a la agencia a mediados de junio de 2026 y verificaron que el fallo fue corregido días después. El director ejecutivo Javier García Cintrón negó reiteradamente que hubiera existido vulnerabilidad alguna y dijo que la agencia no notificaría a los afectados, aun cuando una ley estatal exige esa notificación.
La exposición de números de Seguro Social a esa escala crea riesgo concreto de robo de identidad, y el CRIM incumplió tanto la ley que obliga a notificar a los usuarios afectados como el protocolo que exige informar al Puerto Rico Innovation & Technology Service (PRITS) sobre cualquier incidente de seguridad sospechoso. En lo que va de 2026, PRITS ha registrado más de dos millones de intentos de ciberataque al Gobierno, la mitad clasificados como incidentes críticos.
El Gobierno de Puerto Rico acumula varias brechas de ciberseguridad en años recientes: en 2023 la Autoridad de Acueductos y Alcantarillados sufrió un ataque de ransomware que filtró datos a la dark web; el año pasado una intrusión al Departamento de Justicia interrumpió casi una semana la expedición de certificados de antecedentes penales; y en marzo de 2026 un ciberataque afectó el Departamento de Transportación y Obras Públicas. La Ley 40 de ciberseguridad, aprobada en 2024, ordenó estándares mínimos a todas las agencias, pero tres expertos y un informe de la Oficina del Inspector General señalan que el cumplimiento es parcial: el 60% de las agencias auditadas no había realizado evaluaciones de vulnerabilidad.
El caso revela la distancia entre legislar sobre ciberseguridad y aplicarla, y plantea quién rinde cuentas cuando una agencia niega un incidente que ella misma corrigió.