La acelerada transformación de las tecnologías de la información modificó de manera profunda el mercado laboral en todo el mundo. En este panorama, los servicios de suscripción directa se consolidaron como un modelo de negocio con un crecimiento comercial sin precedentes. OnlyFans, una plataforma que nació en 2016, opera mediante un sistema que conecta a creadores de contenido con sus suscriptores. El crecimiento de este mercado recibió un impulso definitivo durante el confinamiento por la pandemia de coronavirus. De este modo, se consolidó una comunidad que hoy supera los 170 millones de usuarios, con más de dos millones de creadores registrados.
Sin embargo, el vínculo estrecho de este sitio con el material íntimo aumenta de forma exponencial los peligros vinculados a la exposición de datos, el robo de cuentas y la extorsión. En la Argentina, la crisis económica empuja a muchas personas, sobre todo a los jóvenes, hacia alternativas laborales virtuales para generar ingresos. Para este sector, las plataformas globales son una salida económica visible. A pesar de esto, el fenómeno muestra una cara compleja en cuanto a la seguridad y la ética digital. Cuando un usuario pierde el control de sus datos personales, las consecuencias son graves: se destruyen carreras profesionales, se quiebran lazos afectivos y se daña la salud mental. En este escenario, la protección de la información no es un mero trámite técnico, sino un pilar fundamental para asegurar un empleo digital seguro y digno. Por eso, los debates recientes sobre la infraestructura de OnlyFans exponen la urgencia de examinar los riesgos de la privacidad.
La falsa filtración de mayo
El pasado 25 de mayo, los expertos en seguridad informática entraron en alerta debido a un mensaje en foros de la internet profunda. Un cibercriminal bajo el alias de “Euphoric_Reply_5727” afirmó que vendía una base de datos con cerca de 340 millones de registros de OnlyFans. La noticia causó preocupación inmediata por la posible revelación de las identidades reales de los usuarios, conectadas a sus hábitos de consumo o creación. El paquete ofrecido incluía datos muy sensibles: nombres de usuario, identidades reales, correos electrónicos, números de teléfono y fechas de registro. También contenía estadísticas de los creadores, como cantidad de seguidores, interacciones, volumen de videos, redes sociales vinculadas y datos parciales de las tarjetas de pago.
A pesar del revuelo, las auditorías de firmas especializadas detectaron inconsistencias en las pruebas del vendedor. La información venía en un formato de texto plano que difiere de la estructura interna que usan las bases de datos modernas. La muestra solo poseía diez registros completos. Aunque los investigadores confirmaron que los nombres pertenecían a cuentas reales y públicas, los correos electrónicos no figuraban como activos en la plataforma. Además, los casilleros de teléfonos y enlaces secundarios estaban vacíos o con datos falsos.
Más tarde, el propio atacante admitió en privado que no vulneró los servidores de OnlyFans. En su lugar, recolectó filtraciones viejas de servicios como X, Instagram y Spotify, y cruzó esos datos con perfiles públicos de OnlyFans. La compañía desmintió el hackeo de forma oficial. Este episodio evidenció el riesgo de la “agregación de datos”, una estrategia donde los delincuentes juntan filtraciones pasadas para vender el producto como un ataque nuevo y grave. Aun con estas dudas, la sola presencia de correos vinculados a OnlyFans es un peligro, ya que los atacantes usan estos datos para estafas y extorsiones.
El mercado de los “infostealers” y el robo de accesos
El caso de mayo de 2026 reavivó la discusión sobre la crisis de las credenciales robadas. Es fundamental separar el robo de contraseñas de un hackeo directo a la estructura de una empresa. El compromiso de accesos ocurre cuando las claves de un usuario son sustraídas desde su propio equipo, sin que esto implique una intrusión en los servidores centrales. Hoy en día, la suplantación de identidad representa un porcentaje muy alto de los incidentes informáticos.
La expansión de los “infostealers” (programas maliciosos diseñados para el robo de información) cambió el mapa de riesgos en la web. Estos virus operan de forma oculta en computadoras y celulares para robar claves guardadas, cookies de sesión, correos, billeteras virtuales y códigos de autenticación. Hace poco, expertos en seguridad hallaron una base de datos expuesta con más de 149 millones de credenciales obtenidas por estos virus, donde aparecían miles de cuentas de OnlyFans. Este método permite a los delincuentes entrar a los perfiles de forma directa. A esto se suma el “credential stuffing”, una técnica automatizada que prueba contraseñas viejas en sitios nuevos, lo que aprovecha una costumbre nociva: usar la misma clave en varias aplicaciones. Si una persona repite su contraseña de Spotify en OnlyFans, un hackeo menor en la primera plataforma compromete de inmediato su cuenta financiera.
Biometría y manejo de información sensible
Para cumplir con las leyes contra el lavado de dinero y validar la mayoría de edad, OnlyFans exige un estricto control de identidad. Quien desee abrir una cuenta de creador debe aportar su nombre legal, datos bancarios, una copia de su documento y una foto en vivo. A los suscriptores también se les pide verificar su edad mediante sistemas externos. Esta tarea recae en proveedores tecnológicos como la empresa Shufti Pro. En este proceso, el usuario entrega su identificación oficial y un video corto. Los algoritmos de Shufti Pro analizan estos archivos mediante reconocimiento facial y pruebas de vitalidad para descartar fotos fijas o máscaras. También detectan fraudes digitales y extraen texto mediante sistemas ópticos.
En el plano legal, esto se encuadra en la Ley de Protección de Datos Personales de la Argentina (N° 25.326). La norma local determina que las características biométricas son datos sensibles, ya que identifican de forma única a un individuo mediante sus rasgos físicos o fisiológicos. Por este motivo, su recolección exige el consentimiento libre, expreso e informado de la persona. Nadie está obligado a dar estos datos, y la creación de archivos que los guarden tiene restricciones legales severas.
La permanencia de estos registros en manos de terceros abre un conflicto normativo severo. Shufti Pro indica en sus políticas que puede conservar los datos biométricos por mucho tiempo para prevenir fraudes. Esta política choca con la ley argentina, que da al ciudadano el derecho de exigir la eliminación o actualización de sus registros en un plazo de cinco días hábiles. Por otro lado, el avance de la inteligencia artificial suma un peligro inédito. Estudios recientes demuestran que ya es posible extraer huellas dactilares a partir de fotos comunes tomadas a metro y medio de distancia. Si un delincuente roba las imágenes en alta resolución de OnlyFans o sus proveedores, podría replicar rostros y huellas. Estas copias artificiales son capaces de vulnerar sistemas de seguridad externos, como las aplicaciones bancarias, con efectos devastadores.
Fallas internas y antecedentes
El recelo de los usuarios ante los rumores de hackeos no es casualidad; la plataforma arrastra fallas documentadas en su seguridad. Uno de los episodios más graves ocurrió en octubre de 2021. Una pesquisa del medio Motherboard reveló que antiguos empleados de OnlyFans mantuvieron el acceso a Zendesk, la plataforma de soporte técnico, mucho tiempo después de su desvinculación. Mediante estas cuentas, era posible revisar documentación confidencial de los clientes adjunta en los reclamos. Había datos de tarjetas, extractos bancarios, nombres, direcciones, correos, fotos de documentos y las mismas imágenes de verificación de identidad.
Este error organizativo refleja una de las flaquezas más habituales de la tecnología global: la falta de rigor para dar de baja los accesos del personal que se retira. Para quienes trabajan en la industria del entretenimiento para adultos, la revelación de su identidad legal conlleva un riesgo directo de acoso y persecución social.
El impacto humano
La presunta filtración de 340 millones de registros asociados a usuarios de OnlyFans “volvió a poner sobre la mesa una verdad incómoda: el verdadero miedo no siempre es perder plata. Muchas veces es perder privacidad”, advirtió ante Economía Sustentable Magalí Dos Santos, directora general ejecutiva de la empresa EDS Informática.
Esta ingeniera Informática especializada en ciberseguridad señaló que “a nadie le quita el sueño que se filtre el historial del supermercado”. Sin embargo, planteó estas preguntas: ”¿Qué pasa si se filtra qué contenido consumís? ¿A quién seguís? ¿Qué pagás? ¿Con quién hablás? ¿O qué hacés en una plataforma que pensabas que era privada? Ahí cambia todo.”
“Una cosa es que te roben la tarjeta, otra muy distinta es que aparezcan expuestos consumos, suscripciones, perfiles ocultos, conversaciones, relaciones paralelas, fantasías, fetiches o identidades detrás de cuentas anónimas. Y ahí aparecen la vergüenza, las explicaciones incómodas y el clásico: ‘No es lo que parece’”, apuntó Dos Santos.
La especialista en seguridad digital observó que “hay otra cara de esta historia de la que casi no se habla. No solo están expuestos quienes consumen. También quienes crean”.
En este caso entran “modelos, influencers, actrices, actores, figuras públicas y hasta perfiles con vida profesional completamente ajena a este mundo que monetizan contenido para adultos o exclusivo, muchas veces en paralelo y con identidades separadas para evitar impacto reputacional”, describió. “Porque no siempre se anuncia públicamente. Muchas veces ocurre ‘por detrás’, bajo otros nombres, cuentas secundarias o perfiles anónimos”, recordó Dos Santos, quien afirmó: “Una filtración puede derribar esa barrera en segundos”.
Si se exponen fotos, videos, conversaciones, datos de pago o la vinculación entre una identidad pública y una cuenta privada, el daño puede ser enorme: reputacional, laboral, familiar y emocional. Y ahí el riesgo deja de ser digital. Se vuelve humano”, advirtió.
Cómo preservar los datos y reducir riesgos en OnlyFans
Dos Santos recomendó las siguientes acciones para resguardar datos personales y prevenir peligros en OnlyFans y otras plataformas sociales basadas en Internet:
- No repetir contraseñas.
- Activar la doble autenticación.
- Revisar sesiones y dispositivos conectados.
- Evitar guardar material sensible en la nube sin protección.
- Cambiar claves ante cualquier sospecha de filtración o periódicamente.
- No vincular cuentas sensibles con redes sociales personales o profesionales.
- Para creadores: separar identidades digitales, métodos de pago y dispositivos cuando sea posible.
- Desactivar geolocalización y eliminar metadatos de fotos y videos antes de subir contenido.
- Evitar guardar material íntimo o exclusivo en galerías sincronizadas automáticamente con la nube.
“Hoy el riesgo ya no es solamente que entren a una cuenta. El riesgo es que conecten las piezas; que una identidad privada se una con una pública; que un perfil anónimo deje de ser anónimo; que una actividad paralela salga a la luz. Y en Internet, una vez expuesto, volver atrás no es una opción”, concluyó.