Una empresa de trading filtró los números de la seguridad social de sus operadores: qué significa la filtración de Topstep.

Cuando los operadores piensan en el riesgo en el trading por cuenta propia, piensan en el apalancamiento, las pérdidas y la liquidación. Lo que la mayoría no considera es el riesgo que entraña el formulario KYC que rellenaron para recibir su pago. Dos ciberataques distintos contra Topstep a finales de 2025 expusieron los nombres de los operadores, sus números de la Seguridad Social y sus datos de identificación gubernamental.

Ya se están presentando demandas colectivas. Y esta historia plantea una pregunta que todo inversor con una cuenta verificada mediante el proceso KYC debería hacerse ahora mismo .

Hubo dos incidentes distintos, y comprender ambos es importante.

El primer incidente fue un ataque DDoS el 8 de septiembre de 2025. Tras una exhaustiva revisión interna, Topstep descubrió el 3 de diciembre de 2025 que, entre el 8 de septiembre y el 16 de octubre, ciertos archivos que contenían información personal identificable podrían haber sido objeto de acceso no autorizado. Los operadores afectados recibieron cartas a principios de enero de 2026 confirmando que sus nombres y números de la Seguridad Social podrían haber sido comprometidos.

El segundo incidente fue un ataque de relleno de credenciales ocurrido el 14 de diciembre de 2025, descubierto al día siguiente. La respuesta pública inicial de Topstep intentó atribuir este incidente a que los operadores reutilizaron contraseñas de otros sitios web comprometidos, una explicación que generó importantes críticas por parte de la comunidad de operadores y contribuyó a la acción legal que se está llevando a cabo actualmente.

Topstep respondió bloqueando el tráfico IP sospechoso, obligando a restablecer las contraseñas, exigiendo la autenticación multifactor (que antes era opcional) y ofreciendo servicios gratuitos de protección contra el robo de identidad a los usuarios afectados. Actualmente se están presentando demandas colectivas.

Queremos ser directos sobre algo que la mayoría de las coberturas de este incidente han evitado.

Topstep no es la única empresa negligente. Fue la empresa la que fue descubierta. El problema de fondo es estructural: toda empresa de trading que requiere verificación KYC (Conozca a su cliente) maneja una base de datos que incluye, como mínimo, documentos de identidad emitidos por el gobierno y, en muchos casos, números de la Seguridad Social o números de identificación fiscal. Estos datos se encuentran en servidores. Y esos servidores son objetivos.

El sector del trading por cuenta propia ha crecido rápidamente con relativamente poca supervisión de su infraestructura de seguridad de datos. Por lo que hemos observado en el sector, la mayoría de las empresas no son instituciones financieras reguladas con estándares de seguridad obligatorios. Son empresas privadas con distintos niveles de inversión en su seguridad técnica. Al recopilar documentos de identidad para cumplir con los requisitos de procesamiento de pagos, generan un riesgo que sus operadores rara vez evalúan antes de enviarlos.

La cuestión no es si Topstep debería haberlo hecho mejor. La pregunta que todo inversor financiado debería hacerse antes de su próxima presentación de KYC es: ¿qué datos míos posee esta empresa, dónde se almacenan y qué pruebas tengo de que están protegidos adecuadamente?

Según los casos que hemos analizado, los operadores de criptomonedas que operan por cuenta propia se enfrentan a una versión más aguda de este riesgo que los operadores de futuros o divisas, por dos razones.

En primer lugar, las empresas de criptomonedas operan internacionalmente con una supervisión regulatoria limitada. No existe un estándar de seguridad obligatorio equivalente a PCI-DSS para los procesadores de pagos ni a las expectativas de ciberseguridad de la CFTC para las empresas de futuros registradas. El criterio de cada empresa para determinar qué constituye una protección de datos adecuada lo establece, en la práctica, según su propio criterio.

En segundo lugar, las estructuras de pago en el trading de criptomonedas suelen requerir la verificación de identidad en la etapa de retiro, en lugar de al registrarse. Esto significa que, en ocasiones, los traders envían la documentación KYC después de haber operado y tener ganancias que cobrar, un momento de alta motivación en el que analizar las prácticas de seguridad de la empresa es lo último en lo que piensan.

Las reglas de Mubite no exigen la verificación de identidad (KYC) ni al registrarse ni durante la fase de verificación. La verificación de identidad solo se requiere al momento del pago, lo que significa que los datos confidenciales de identidad se recopilan de un grupo significativamente menor (solo los operadores que han superado la verificación y solicitado un retiro), en lugar de todos los usuarios registrados por adelantado. Este período de exposición más limitado representa una diferencia estructural importante con respecto a las empresas que recopilan documentos antes de que un operador haya realizado una sola transacción.

Si ha presentado documentos KYC a alguna empresa de inversión, estos son los pasos que recomendamos seguir independientemente de si dicha empresa ha revelado algún incidente de seguridad:

• Si proporcionaste tu número de seguro social a alguna empresa de crédito, inscríbete en un servicio de monitoreo de crédito. Entre las opciones gratuitas se incluyen las herramientas de monitoreo de las propias agencias de crédito, y muchas empresas estadounidenses están obligadas por ley a ofrecer este servicio tras una filtración de datos.

• Habilite la autenticación multifactor en todas las cuentas conectadas a cualquier plataforma de negociación, procesador de pagos o dirección de correo electrónico utilizada para la actividad comercial. Los ataques de relleno de credenciales tienen éxito precisamente porque los operadores reutilizan contraseñas en diferentes plataformas.

• Verifique si las empresas que custodian sus datos han publicado una política de seguridad o privacidad que describa cómo se almacenan, cifran y acceden a los documentos de identidad. Si dicha información no está publicada, pregunte directamente antes de enviar los documentos.

• Supervise sus cuentas en cualquier empresa de gestión de cuentas que requiera la verificación de identidad (KYC) por actividad inusual, en particular en lo que respecta a solicitudes de pago y cambios en la configuración de la cuenta.

Los principios de gestión de riesgos que protegen una cuenta de trading financiada se aplican igualmente a los datos personales que la financian. No operarías sin una orden de stop loss. No entregues documentos de identidad sin comprender la protección que ofrecen.