Si usas Cashea para comprar a cuotas en Venezuela, es probable que tu información personal ya esté circulando en manos desconocidas. La filtración de datos de Cashea, confirmada el 21 de febrero de 2026, expuso más de 79 millones de registros transaccionales y generó una alerta inmediata en el ecosistema fintech del país.
Aquí te contamos exactamente qué ocurrió, qué datos quedaron comprometidos y —lo más importante— qué puedes hacer ahora mismo para protegerte.
¿Qué es Cashea y por qué este incidente le importa a tanta gente?
Cashea es una de las plataformas de compra ahora, paga después (BNPL) más populares en Venezuela. Funciona como una tarjeta de crédito informal: el usuario compra en tiendas aliadas y paga en cuotas quincenales sin intereses.
Su impacto en la economía no es menor. Según cifras citadas por Forbes, la plataforma canaliza operaciones equivalentes al 3,5 % del PIB venezolano. Millones de personas la usan a diario para sobrevivir en un país dolarizado con escasez de efectivo.
Por eso, cuando los datos de Cashea se filtran, no estamos hablando de un problema técnico menor. Estamos hablando de la información financiera de una buena parte del país.
¿Qué tipo de ataque sufrió Cashea?
El incidente fue detectado el 21 de febrero de 2026 y confirmado públicamente por la empresa esa misma noche. Según los reportes del monitor de ciberseguridad VECERT Analyzer, un actor identificado como «malconguerra2» publicó en la dark web una base de datos de 46,5 GB en formato JSON.
Todo apunta a lo que los expertos llaman una exfiltración de datos: alguien logró acceder sin autorización a los sistemas de Cashea, extrajo información histórica masiva y la publicó de forma abierta. No fue un ataque de ransomware ni un bloqueo de servicios. Fue un robo silencioso de datos.
Cashea, por su parte, afirmó en su comunicado oficial que el incidente «ya fue contenido» por su equipo técnico y que la aplicación sigue 100% operativa.
¿Qué datos se filtraron exactamente?
Según el análisis realizado por VE Sin Filtro, la ONG de ciberseguridad Conexión Segura y Libre, los datos expuestos incluyen:
- Nombre completo, cédula de identidad y número de teléfono de clientes que realizaron compras.
- Historial de transacciones: qué compraron, en qué comercios y cuándo.
- Números de cuenta bancaria y datos de contacto de comercios aliados.
- Información sobre más de 15.227 negocios asociados a la plataforma.
- Más de 29 millones de registros de tiendas y 79 millones de registros transaccionales en total.
Lo que no se habría comprometido —al menos según la muestra analizada— son contraseñas, correos electrónicos ni datos de usuarios que no hayan realizado transacciones. Pero ojo: VE Sin Filtro advierte que
«No es posible descartar que el atacante haya extraído información adicional que no haya sido publicada.»
Dicho de otro modo: lo que vimos publicado puede ser solo la punta del iceberg.
¿Por qué importa que se filtre el historial de transacciones?
Mucha gente piensa: «si no me robaron la contraseña, estoy tranquilo». Eso es un error.
Tu historial de compras es una radiografía de tu vida financiera. Revela dónde vives, qué consumes, cuánto gastas, con qué frecuencia, y cuáles son tus límites de crédito.
Como señaló VECERT Analyzer:
«Esto permite a cualquier atacante mapear no solo las identidades de los usuarios sino también sus hábitos de gasto, límites de crédito y relaciones comerciales con los establecimientos.»
En el mundo digital, ese tipo de metadatos puede valer tanto —o más— que una contraseña.
¿Qué hacer ahora? Acciones inmediatas si eres usuario de Cashea
Si tienes una cuenta activa en Cashea, actúa hoy, no mañana. Aquí va la lista de lo más urgente:
1. Desconfía de cualquier comunicación no solicitada
Con tu nombre, cédula y teléfono en manos de extraños, eres un blanco perfecto para el phishing y la ingeniería social. Si alguien te llama mencionando tus compras recientes en Cashea —fingiendo ser soporte técnico, un banco o un aliado comercial— no des ningún dato.
2. Haz todos tus pagos dentro de la app oficial
El propio Cashea lo recomendó en su comunicado: no hagas pagos a cuentas que te envíen por WhatsApp o mensaje de texto. Solo confía en los datos bancarios que aparecen dentro de la aplicación.
3. Activa alertas en tu banco
Si tu número de cuenta quedó comprometido —especialmente si eres comercio aliado—, activa notificaciones de movimientos en tiempo real. Cualquier transacción extraña debe reportarse de inmediato.
4. Exige información a Cashea
Tienes derecho a saber si tus datos específicos fueron afectados. Contacta a Cashea a través de sus canales oficiales y solicita una confirmación por escrito. El experto en seguridad digital Javier Gangi lo dijo claro en una entrevista con Correo del Caroní: «Las empresas tienen que responder a sus usuarios por la filtración de sus datos.»
5. Verifica que toda comunicación provenga de canales oficiales
El perfil oficial de Cashea en X es @somoscashea. Cualquier mensaje que llegue desde otra cuenta debe considerarse sospechoso.
Cómo protegerte de este tipo de ataques en el futuro
Esta filtración no es un caso aislado. En Venezuela, la ausencia de marcos regulatorios claros sobre protección de datos personales deja a los usuarios desprotegidos cuando las empresas fallan. Así lo señaló Javier Gangi:
«En otros lugares, como Europa y Estados Unidos, existen marcos legales que obligan a las empresas a responder, incluso económicamente, ante este tipo de incidentes.»
Mientras eso llega —si es que llega—, la defensa es tuya. Estos hábitos pueden marcar la diferencia:
Usa contraseñas únicas y un gestor de contraseñas
Si usas la misma contraseña en Cashea que en tu correo o banco, cámbiala ya. Herramientas como Bitwarden (gratuito) o 1Password te ayudan a tener contraseñas únicas y seguras sin tener que memorizarlas todas.
Activa la autenticación en dos pasos (2FA)
Cualquier plataforma que lo permita debe tener habilitado el doble factor de autenticación. Así, aunque alguien tenga tu contraseña, no podrá entrar sin un código adicional que solo tú tienes.
Sé escéptico ante mensajes urgentes
El phishing funciona porque genera pánico o urgencia: «Tu cuenta será bloqueada», «Debes pagar hoy», «Actualiza tus datos ahora». Ante cualquier mensaje de este tipo, detente, respira y verifica directamente en la app o web oficial.
Minimiza los datos que compartes
Cada vez que una plataforma te pide datos personales, pregúntate: ¿es realmente necesario? Dar menos información a más servicios reduce tu exposición si alguno de ellos falla.
Ransomware: qué es, cómo evitarlo y cómo eliminarlo
Si la filtración de Cashea te preocupó, necesitas conocer el ransomware: uno de los ataques más peligrosos que existen hoy y cómo puedes blindarte contra él.
¿Qué puede pasar a partir de ahora? Un pronóstico realista
Cuando 79 millones de registros caen en la dark web, las consecuencias no ocurren de un día para otro. Se acumulan.
Lo más probable en las próximas semanas es un aumento en intentos de estafas telefónicas personalizadas. Alguien que conoce tu nombre, tu cédula y lo que compraste la semana pasada puede armar una historia muy convincente.
A mediano plazo, los datos filtrados pueden usarse para crear perfiles financieros falsos o para campañas de phishing masivo dirigidas a usuarios de fintech venezolanas. Ya en noviembre de 2025, Cashea había advertido sobre estafas que usaban su nombre y logo para ofrecer «bonos navideños» y «préstamos falsos».
Y hay algo más: como señaló el experto Javier Gangi, si lo hicieron una vez, ¿qué impide que lo hagan de nuevo? Cashea debe hacer una auditoría forense completa y blindar todas las puertas de acceso. La confianza de los usuarios no se recupera con un comunicado; se recupera con hechos y transparencia sostenida.
Como apuntó el analista digital en declaraciones a El Estímulo: «Este incidente marca, sin duda, un punto importante para hablar sobre la seguridad digital en Venezuela.»
Lo que Cashea debería hacer —y aún no ha confirmado que hará
Más allá del comunicado inicial, la empresa tiene obligaciones pendientes:
- Auditoría forense independiente para determinar el alcance real del ataque.
- Comunicación directa con cada usuario afectado, no solo un comunicado genérico.
- Informe público con la cronología del incidente, cómo ocurrió y qué se hizo para contenerlo.
- Reforzamiento permanente de las capas de seguridad, no solo como reacción a esta crisis.
Cashea prometió un informe detallado. Los usuarios deben exigir que cumpla esa promesa.
¿Tu empresa también maneja datos sensibles de clientes?
Lo que le pasó a Cashea puede pasarle a cualquier empresa que maneje datos de usuarios sin una estrategia de ciberseguridad sólida. Un incidente de este tipo no solo compromete datos: destruye la confianza que tardaste años en construir.
En Grupo APOK, ayudamos a empresas y marcas a crear herramientas de software seguras. Si tu negocio necesita software confiable, somos tu mejor opción.👉 Conoce nuestros servicios y contáctanos aquí — porque en el mundo digital, la confianza es el activo más valioso que tienes.
Jarmi Indriago Leon es un economista con experiencia especializada en análisis de datos, sales insights y business intelligence. Con una sólida trayectoria en empresas de tecnología y consultoría, ha desarrollado expertise en transformar datos complejos en insights accionables que impulsan el crecimiento empresarial.
