El iFood reconoció oficialmente un vazamiento de datos que comprometió la información personal de 1,2 millones de sus usuarios, aunque la compañía ha optado por no informar a los afectados. El incidente, ocurrido en diciembre de 2025, fue calificado por la empresa como aislado y contenido rápidamente por sus protocolos de seguridad. Según la nota difundida el miércoles 3 de junio de 2026, el alcance se limitó a aproximadamente el 2% de su base total de clientes. La decisión de mantener en silencio a los perjudicados ha generado debate entre especialistas.
Detalles del incidente y datos expuestos
Las informaciones filtradas incluyen nombres completos y números de CPF de los usuarios afectados, según confirmó la compañía. Sin embargo, iFood asegura que no hubo compromiso de credenciales de acceso como contraseñas, ni de datos de medios de pago, registros financieros o información bancaria. La empresa afirma que no hay evidencias de que transacciones realizadas en la plataforma hayan sido accedidas de forma indebida. A pesar de ello, la exposición del CPF representa un riesgo potencial para fraudes de suplantación de identidad.
La decisión empresarial bajo la LGPD
La compañía justificó su postura basándose en una evaluación que determinó que el incidente no acarreaba riesgo o daño relevante para los titulares. iFood señaló que actuó en estricto cumplimiento de la Lei Geral de Proteção de Dados (LGPD) y los criterios establecidos por la Autoridade Nacional de Proteção de Dados (ANPD). La legislación dispensa la comunicación cuando el evento no representa un peligro significativo. No obstante, la nota no aclaró si el caso fue reportado a la ANPD o a otras autoridades regulatorias.
Respuesta oficial y canales de comunicación
iFood indicó que sigue adoptando medidas de protección conforme a la LGPD y que el incidente fue tratado según la legislación vigente. La empresa también recomendó a los clientes desconfiar de mensajes no oficiales que pudieran circular sobre el suceso. Subrayó que todas las comunicaciones legítimas provendrán exclusivamente de sus canales oficiales. Hasta el momento, no se ha informado si se notificará individualmente a los 1,2 millones de afectados ni se ha revelado el origen del ataque.
Riesgos de ingeniería social
Para expertos en seguridad digital, la filtración de nombres y CPFs abre la puerta a estafas de ingeniería social. Aunque no se hayan expuesto contraseñas o datos bancarios, el CPF es un identificador sensible que puede ser utilizado en fraudes. iFood mantiene su postura de que no hubo daño relevante, pero esta decisión podría avivar el debate sobre los criterios de riesgo bajo la LGPD. La ausencia de comunicación formal dificulta que los usuarios tomen medidas preventivas oportunas.
Incógnitas sobre el origen del ataque
La empresa no ha proporcionado detalles sobre la procedencia del vazamiento ni sobre los responsables del ataque. Tampoco ha informado si se han tomado acciones legales o si se ha colaborado con las autoridades. El silencio en torno a estos aspectos deja interrogantes sobre la seguridad de la plataforma. Los usuarios afectados permanecen sin una notificación directa que les permita protegerse ante posibles usos indebidos de sus datos.