nicocarrasco.dev
ES · EN
· ciberseguridad · rutify · proteccion-de-datos · chile · ley-21719 · ia

Rutify en pantalla nacional, ¿y qué viene después?

Esta noche un especial de TV cubre el caso Rutify. Una mirada técnica al buscador de datos personales que viralizó esta semana en Chile, las bases que cruza, y por qué ningún experto serio se sorprendió.

Esta noche un especial de televisión nacional cubre Rutify. Bien que llegue al horario estelar — y ojalá la conversación pública aguante más allá de la indignación inmediata. Anticipo que no, pero ojalá.

Para los que llegan ahora al tema: Rutify es un sitio que toma como entrada un RUT chileno y devuelve, en menos de dos segundos, nombre completo, dirección, teléfono, antecedentes de salud, deudas históricas y un puñado más de datos personales. Una interfaz amigable, búsqueda instantánea, sin login, sin traba. Lo necesario para que cualquier vecino preguntón con conexión a internet sepa más de ti que tu propio dentista.

La indignación pública es justa. La sorpresa, no.

Por qué los técnicos del rubro estamos a media asta

Acá viene lo incómodo: nada de lo que muestra Rutify es nuevo. Las bases que cruza llevan años circulando en Telegram, foros y mercados clandestinos. Lo que cambió no es la existencia del dato. Lo que cambió es quién puede explotarlo.

Hace cinco años, montar un servicio así requería un equipo: alguien que supiera buscar dumps en formato .sql, alguien que armara la base local, alguien que escribiera las queries de cruce, alguien que hiciera frontend. Hoy, con plataformas tipo Lovable o Replit más un LLM como copiloto, una sola persona con curiosidad y una tarde libre lo arma.

Es exactamente lo que advertí en la nota sobre la Ley 21.719 hace una semana: la IA generativa cambió el costo marginal de construir herramientas que antes eran prohibitivas. Rutify es la primera consecuencia visible. No la última.

De dónde salieron los datos

Hasta ahora, lo identificable en sandbox y cruzando con análisis de otros pares del rubro, son al menos cuatro bases conocidas mezclándose:

  • Filtración SERVEL 2017 — padrón electoral con dirección y teléfono.
  • Filtración Registro Civil 2018-2019 — cédulas y datos asociados.
  • Dumps de retail entre 2018-2022 (Falabella, La Polar, otros).
  • Bases del sector salud que aparecieron en mercado clandestino tras 2021.

Todas existen desde hace tiempo. Todas se intercambian gratis o por dólares en canales chicos. El dato ya estaba afuera. Rutify solo lo presentó bonito.

Mi perspectiva sobre lo que viene

Desde mi trabajo en cómputo forense, te lo aseguro: las bases que circulan se limpian y se cruzan con dumps nuevos cada año, y vuelven al mercado más completas. Lo que vi en sandbox de Rutify en estos días confirma exactamente ese patrón.

Lo que escucho repetido entre los analistas serios estos días — y comparto:

  1. El hecho técnico no escandaliza tanto como debería. Las bases ya estaban. Rutify es la consecuencia visible, no la causa.
  2. La Ley 21.719 que entra en vigencia en diciembre 2026 no soluciona esto. Está pensada para regular cómo las empresas tratan datos de sus clientes, no para frenar a un actor offshore que monetiza filtraciones de hace cinco años con una interfaz armada en una tarde.
  3. El factor IA no es accesorio. Es lo que hace que el costo de construir esto pase de “equipo técnico” a “una persona con curiosidad”. Y eso significa que vamos a ver cinco Rutifys más antes de fin de año.

Donde difiero de algunos colegas: hay quienes piensan que bloquear el sitio basta. No basta. Bloqueas Rutify y mañana aparece Rutify2, y pasado DataRut. El problema no es Rutify. El problema es la cultura nacional, pública y privada, de manejar datos personales como si fueran metadatos.

Mi posición honesta: la salida es enfrentar la causa, no el síntoma. Y la causa tiene 25 años de manejo descuidado en Chile, en sector público y privado por igual.

Lo que viene en la auditoría

Estoy terminando un informe técnico que cubre:

  • Stack identificada — frontend, backend, hosting, CDN, autenticación.
  • Headers de respuesta y huellas técnicas que apuntan a quién está detrás.
  • Cruces de datos detectables — qué bases se usaron, observando el formato de respuesta.
  • Recomendaciones para empresas chilenas sobre cómo identificar si sus propios datos están en estos cruces, y qué hacer si lo están.
  • Reflexión final sobre la 21.719 y qué se puede hacer hoy, antes de diciembre 2026.

Lo subo acá en los próximos días. Si te interesa que avise cuando salga, escríbeme a hola@nicocarrasco.dev con asunto [Auditoría Rutify].

Una nota mientras esperas el especial

Si vives en Chile y tu RUT está en estas bases — y la probabilidad estadística está cerca del 80% — vale la pena revisar al menos las medidas básicas: contraseñas únicas en banca, autenticación de dos factores en correo, alertas SMS en tarjetas. No son medidas para Rutify específicamente. Son medidas para el ecosistema del que Rutify es solo el ejemplo más visible — y el primero en llegar al prime time.

Mira el reportaje. Indígnate, está bien. Pero después pregúntate: ¿quién en mi empresa, en mi sector, en mi sistema de salud, está cuidando los datos como si importaran? Porque la respuesta a esa pregunta es la única que va a determinar si en seis meses estamos hablando de Rutify o de Rutify6.