La filtración de ANTS en Francia abre la puerta a una oleada de phishing de documentos
El portal francés de documentos de identidad seguros, ANTS, sufrió una brecha que expuso datos de hasta 19 millones de personas. No es solo una filtración: es el combustible perfecto para una oleada de SMS y correos falsos de "renovación" que ya conocen tu nombre y tu dirección reales.
¿Es real ese SMS de ANTS que me pide renovar mi documento?
Veredicto: un SMS o correo de ANTS con enlace y plazo es casi con certeza una estafa. El ANTS real solo opera en ants.gouv.fr y nunca pide datos de tarjeta ni una tasa por mensaje. Tras la brecha del 15 de abril de 2026 en el portal francés ANTS, los delincuentes tienen tu nombre completo, tu dirección y tu fecha de nacimiento. Con esos datos pueden enviarte un mensaje hiperpersonalizado que parece auténtico, citando tus datos reales para que bajes la guardia. El enlace lleva a un sitio falso que imita a ANTS para robarte más información, un "pago" o tus credenciales de FranceConnect. La única señal fiable de que estás en el sitio auténtico es el sufijo .gouv.fr. Ningún otro dominio es real.
Qué pasó: la brecha del 15 de abril en ANTS
Empecemos por explicar qué es ANTS. La Agence Nationale des Titres Sécurisés es la agencia pública francesa que gestiona los documentos de identidad seguros del país: el documento nacional de identidad (la CNI), el pasaporte, el permiso de conducir y el permiso de circulación del vehículo, conocido en Francia como la carte grise. Si vives en Francia y has renovado tu carnet o matriculado un coche, has pasado por su portal oficial, ants.gouv.fr.
El 15 de abril de 2026, ese portal sufrió una brecha. La causa fue una vulnerabilidad de tipo IDOR (Insecure Direct Object Reference, o referencia directa insegura a objetos) en su API. En cristiano: un atacante podía leer el expediente de otra persona simplemente cambiando un parámetro en la petición. Donde su propio número debía aparecer, ponía otro, y el sistema le devolvía el registro ajeno sin comprobar si tenía derecho a verlo. Repetido a escala automatizada, ese fallo permitió extraer una cantidad enorme de expedientes ciudadanos.
El alcance es de los mayores que ha visto el sector público francés: se expusieron datos de hasta 19 millones de ciudadanos. La información comprometida incluye nombres completos, direcciones postales, correos electrónicos, números de teléfono, fechas y lugares de nacimiento, y los identificadores de acceso al servicio. Un atacante que usa el alias "breach3d" reclamó la autoría y puso los datos a circular en un foro criminal el 16 de abril de 2026. Las autoridades notificaron el incidente a la CNIL (la autoridad francesa de protección de datos), a la fiscalía y a la ANSSI, la agencia nacional de ciberseguridad.
Por qué la filtración importa más que el robo en sí
Una filtración de identidad da miedo por lo que se pierde, pero el peligro de verdad para tu día a día llega después, cuando esos datos se convierten en munición de phishing. Y aquí es donde esta brecha es especialmente tóxica.
Piensa en lo que normalmente delata a una estafa: el mensaje no sabe tu nombre, te llama "Estimado cliente", o pone una dirección que no es la tuya. Después de la filtración de ANTS, todas esas pistas desaparecen. El delincuente tiene tu nombre y apellidos reales, tu dirección postal real y tu fecha de nacimiento real. Puede escribirte un SMS o un correo que parece salido de la propia administración, porque conoce datos que tú creías privados.
La forma del ataque es predecible. Llegará una oleada de smishing (SMS fraudulentos) y de correos falsos con un mensaje del estilo: "su documento de identidad debe reverificarse", "su permiso de conducir caduca y debe renovarse en línea" o "su carte grise requiere una actualización de datos". Para vencer tu desconfianza, el mensaje citará tu nombre, tu dirección o tu fecha de nacimiento auténticos. El enlace te llevará a un sitio que imita a ANTS y que te pedirá completar más datos, pagar una "tasa de renovación" con tarjeta o iniciar sesión con tus credenciales de FranceConnect, el sistema de identificación única del Estado francés.
Comprueba un enlace sospechoso ahora mismo
¿Recibiste un SMS o un correo que dice ser de ANTS y no estás seguro de a dónde lleva? Pega aquí el enlace. Nuestro motor de 3 capas (Local + APIs + IA) devuelve un veredicto en unos 3 segundos. Gratis, sin registro. No introduzcas ningún dato personal en la página antes de verificarla.
El sufijo .gouv.fr es la única señal que importa
Cuando el resto de las pistas (el nombre, la dirección, el tono oficial) están comprometidas, necesitas un ancla que el atacante no pueda falsificar. Esa ancla es el dominio.
El ANTS auténtico vive solo en ants.gouv.fr. El sufijo .gouv.fr está reservado al Gobierno francés y no se puede registrar libremente, así que es la prueba más fiable de que estás en un sitio oficial. FranceConnect, por la misma lógica, vive solo en franceconnect.gouv.fr. Cualquier otra terminación es sospechosa por definición: un .com, un .fr con palabras añadidas, un .net o un .xyz nunca son ANTS, por muy convincente que se vea la página.
Los estafadores juegan precisamente con que casi nadie mira el dominio entero. Registran nombres como ants-renouvellement[.]com, mon-ants[.]net o trucos de subdominio como ants-verification-secure[.]fr-id[.]xyz, donde "ants.gouv.fr" aparece dentro del texto pero el dominio real que controla la página es otro completamente distinto. Estos son ejemplos ilustrativos, no direcciones fijas, y por seguridad los mostramos "defangados" (con corchetes) para que no se puedan pulsar. La regla es simple: lee el dominio de derecha a izquierda y comprueba que termina exactamente en .gouv.fr.
Cómo detectar la estafa de renovación de documentos
- El enlace no termina en .gouv.fr. Es la señal número uno. ANTS solo está en ants.gouv.fr y FranceConnect en franceconnect.gouv.fr. Cualquier otra cosa es falsa.
- Te piden el número completo de la tarjeta o una "tasa". ANTS nunca pide el número completo de tu tarjeta de pago ni una tasa de renovación por SMS o correo. Esa petición sola termina la conversación.
- Urgencia fabricada. "En 24 horas", "sus derechos caducan", "evite una multa". La presión de tiempo existe para que actúes antes de pensar. Un trámite administrativo real no caduca en un mensaje.
- El mensaje ya conoce tus datos. Aquí está el giro contraintuitivo: tras una filtración, un mensaje que YA sabe tu nombre, dirección o fecha de nacimiento es MÁS sospechoso, no menos. Esos datos están filtrados; que los conozca no prueba nada, solo confirma que tu información se ha visto comprometida.
- Te empuja a "verificar" con FranceConnect desde el enlace. Nunca inicies sesión con FranceConnect desde un enlace que te han enviado. Entra tú mismo en el servicio oficial.
Qué hacer ahora mismo para protegerte
El reflejo correcto es siempre el mismo: no pulses, navega tú.
Nunca pulses el enlace del SMS o del correo. Si crees que de verdad tienes un trámite pendiente, abre tú mismo el navegador y escribe ants.gouv.fr a mano, o entra desde un marcador que hayas guardado antes. Así te saltas por completo cualquier enlace manipulado. Lo mismo vale para FranceConnect: llega siempre por franceconnect.gouv.fr, nunca desde un mensaje.
Trata la urgencia como una alarma, no como una orden. En cuanto un mensaje te mete prisa con un plazo o una multa, ya tienes motivo suficiente para desconfiar. Una administración no te deja sin documento por no pulsar un enlace en 24 horas.
Denuncia. En Francia, reenvía el SMS fraudulento al 33700, el número oficial de señalación de spam por mensaje. Reporta el sitio o el correo en signal-spam.fr y en cybermalveillance.gouv.fr, el portal estatal de asistencia frente a la ciberdelincuencia. Si llegaste a introducir tus datos o a pagar, presenta denuncia ante la policía o la gendarmería, y vigila tus cuentas bancarias. Si te lees desde España o México y recibes algo parecido a nombre de un organismo público, aplica exactamente la misma lógica del dominio oficial y repórtalo a tu autoridad nacional de ciberseguridad.
Cómo ayuda SafeBrowz con esta amenaza
SafeBrowz funciona con una arquitectura de detección de 3 capas: Local + APIs + IA. La filtración de datos en sí ocurrió en el servidor de ANTS y queda fuera de nuestro alcance, pero la estafa solo cobra valor en el último paso: el momento en que pulsas el enlace y una página falsa de ANTS se abre en tu navegador. Ahí es donde SafeBrowz está vigilando.
SafeBrowz marca cualquier página que se hace pasar por ANTS y no está en el dominio real .gouv.fr. Su regla de marca-en-dominio-no-oficial detecta imitaciones como ants-renouvellement[.]com sin necesidad de leer el contenido de la página, y su detección de cadena de subdominios atrapa trucos como ants.gouv.fr.verify[.]xyz, donde el nombre oficial se usa como cebo dentro de un dominio ajeno. La única señal fiable es el sufijo .gouv.fr, y esa es exactamente la regla que aplica el motor. Para variantes nuevas que ninguna lista de bloqueo tiene todavía, el análisis profundo con IA (Premium, más de 100 idiomas) lee la intención de la página (la suplantación de ANTS, la petición de tasa o de credenciales de FranceConnect) y devuelve un veredicto de peligro en segundos.
Las firmas de detección provienen de investigación de inteligencia de amenazas y de nuestra base de datos interna de marcas, no de los datos de navegación de los usuarios. SafeBrowz no almacena el historial de navegación por usuario.
Atrapa el sitio falso de ANTS antes de entregar tus datos
SafeBrowz es una extensión de navegador gratuita para Chrome, Firefox y Edge, con Safari muy pronto. Marca los sitios que imitan a ANTS, las páginas falsas de "renovación" de documentos y las trampas que piden tus datos de tarjeta o tus credenciales de FranceConnect en cuanto el enlace se abre, antes de que entregues nada. La capa local cubre más de 550 marcas. El análisis profundo con IA (Premium, 14,99 $ al año) atrapa nuevos dominios que imitan a organismos públicos el mismo día en que aparecen, incluso cuando ninguna lista de bloqueo los tiene aún.
Añadir a Chrome
Añadir a Firefox
Añadir a EdgePreguntas frecuentes
¿Es real el SMS de ANTS que me pide renovar mi documento?
Casi con certeza no. ANTS no envía SMS ni correos con enlaces para "renovar" o "reverificar" tu documento, y nunca pide una tasa por mensaje. Tras la filtración de abril de 2026, los delincuentes tienen tu nombre, dirección y fecha de nacimiento, así que pueden enviarte mensajes muy convincentes. El ANTS auténtico solo opera en ants.gouv.fr. Si crees que tienes un trámite pendiente, no pulses el enlace: abre tú mismo ants.gouv.fr en el navegador y compruébalo allí.
¿Qué datos se filtraron en la brecha de ANTS?
La brecha del 15 de abril de 2026 expuso datos de hasta 19 millones de ciudadanos franceses: nombres completos, direcciones postales, correos electrónicos, números de teléfono, fechas y lugares de nacimiento e identificadores de acceso al servicio. La causa fue una vulnerabilidad IDOR en la API del portal, que permitía leer el expediente de otra persona cambiando un parámetro de la petición. Las autoridades notificaron el incidente a la CNIL, a la fiscalía y a la ANSSI.
¿Cómo sé si una página de ANTS es la oficial?
Mira el dominio. El ANTS auténtico está solo en ants.gouv.fr, y FranceConnect solo en franceconnect.gouv.fr. El sufijo .gouv.fr está reservado al Gobierno francés y no se puede registrar libremente, así que es la prueba más fiable. Cualquier otra terminación (.com, un .fr con palabras añadidas, .net o .xyz) no es ANTS. Lee el dominio de derecha a izquierda y comprueba que termina exactamente en .gouv.fr. Desconfía de nombres como ants-renouvellement.com o trucos de subdominio como ants.gouv.fr.verify.xyz.
Si el mensaje ya sabe mi nombre y mi dirección, ¿no significa que es legítimo?
No, al contrario. Tras una filtración como la de ANTS, un mensaje que ya conoce tu nombre, tu dirección o tu fecha de nacimiento es más sospechoso, no menos. Esos datos están filtrados y circulan en foros criminales, así que cualquier estafador puede usarlos para parecer auténtico. Que un mensaje conozca tus datos no prueba que venga de una fuente legítima; solo confirma que tu información se vio comprometida. Sigue verificando el dominio antes de fiarte.
Introduje mis datos en una página falsa de ANTS. ¿Qué hago?
Actúa rápido. Si diste tu tarjeta de pago, contacta de inmediato con tu banco para bloquearla y vigilar cargos. Si usaste tus credenciales de FranceConnect, cámbialas y revisa la actividad de tu cuenta. Reenvía el SMS al 33700, reporta el sitio en signal-spam.fr y en cybermalveillance.gouv.fr, y presenta denuncia ante la policía o la gendarmería. Vigila tus cuentas las semanas siguientes por si hay intentos de fraude adicionales, ya que tus datos pueden reutilizarse en nuevas estafas.
¿ANTS pide alguna vez una tasa de renovación por SMS o correo?
No. ANTS nunca pide el número completo de tu tarjeta de pago ni una tasa de renovación por SMS o por correo electrónico. Los trámites y pagos reales se gestionan dentro del portal oficial ants.gouv.fr, al que entras tú mismo, nunca desde un enlace recibido por mensaje. Si un mensaje te pide pagar una tasa urgente con tarjeta para "no perder tus derechos", es una estafa diseñada para robar tus datos de pago. Ignóralo y, si dudas, verifica el enlace en el comprobador de SafeBrowz de esta página.
Última actualización: 15 de junio de 2026