XP informó haber tomado conocimiento, el 22 de marzo de 2025, de un acceso no autorizado a una base de datos alojada por uno de sus proveedores externos. La empresa declaró que bloqueó de inmediato el acceso en cuanto detectó el incidente y aseguró que ningún sistema interno de XP fue comprometido.

Según el comunicado, las cuentas e inversiones de los clientes permanecen seguras y ninguna operación financiera fue realizada como consecuencia del acceso indebido. El uso de las aplicaciones y sitios web de XP puede continuar con normalidad, sin necesidad de cambiar contraseñas. Información sensible como contraseñas, firmas electrónicas, biometría, CPF o documentos de identidad no fue accedida.

La investigación interna identificó que los datos expuestos incluyen información de registro como nombre, teléfono, correo electrónico, fecha de nacimiento, código postal, estado civil, género, cargo y nacionalidad. También se accedió a datos binarios que indican la tenencia (sí/no) de productos como tarjeta de crédito, seguro y plan de pensiones, sin mayores detalles. Asimismo, quedaron expuestos datos de la cuenta XP correspondientes a marzo, como número de cuenta, saldo, posición, nombre del asesor y límite de crédito.

XP afirmó haber notificado a las autoridades competentes e iniciado una investigación detallada (hecho confirmado por la Autoridad Nacional de Protección de Datos de Brasil — ANPD). La empresa alerta a sus clientes para que desconfíen de llamadas telefónicas realizadas en nombre de XP que soliciten confirmación de transacciones o datos de seguridad, y reitera que nunca solicita contraseñas, tokens ni códigos por teléfono, SMS o correo electrónico. En caso de duda, los clientes deben utilizar los canales oficiales de atención.

Según lo informado por el portal jurídico Jota, ya se presentó la primera demanda judicial contra la institución. Como fundamento del proceso, los abogados del demandante indicaron que fue posible identificar los datos filtrados en la dark web. Al mismo tiempo, el número de llamadas fraudulentas recibidas por los clientes aumentó considerablemente tras el incidente reportado.

Este post fue resumido a partir de su versión original con el uso de ChatGPT versión 4o, con revisión humana.

Con información de XP