Smart Africa leaks thousands of AFRINIC member email addresses

• Lista de contactos sensible y no pública de miembros de AFRINIC revelada en un error masivo de correo electrónico de Smart Africa.
• La filtración plantea preguntas sobre cómo Smart Africa obtuvo los datos y el posible intercambio no autorizado desde dentro de AFRINIC.

En otro golpe a la confianza en las instituciones de gobernanza de Internet de África, Smart Africa ha provocado una importante filtración de datos que podría tener graves consecuencias para AFRINIC y sus miembros. Ver también: Desaparición del registro de miembros de AfriNIC.

El incidente ocurrió cuando Djibril Dème, gestor de proyectos de Smart Africa, envió un correo electrónico titulado «Invitación – Sesión de consulta en línea sobre las elecciones de AFRINIC y el marco CAIGA». En lugar de colocar a los destinatarios en el campo CCO, Dème los introdujo en el campo «Para», exponiendo cada dirección de correo electrónico a todos los demás destinatarios, y potencialmente a cualquiera que obtuviera el correo posteriormente.

¿Cómo obtuvo Smart Africa estos datos?

Las direcciones de correo electrónico de los miembros de AFRINIC no son públicas. No se conoce que Smart Africa tenga una razón legítima o legal para poseerlas. Si la lista se obtuvo directa o indirectamente de AFRINIC, esto apuntaría a una violación interna o al intercambio no autorizado de datos privados de los miembros, un asunto grave que exige una investigación urgente. Ver también: Alejandro Fernandez.

Lea también: Por qué la disputa de AFRINIC es sobre más que direcciones IP: se trata de libertad

Por qué esto es grave

Las direcciones expuestas son, para muchos miembros de AFRINIC, el principal, y a menudo único, punto de contacto no público para operaciones seguras del registro. Perder el control de esa información también significa perder una protección clave que evita el uso indebido de las funciones del registro.

La filtración revela detalles de contacto no públicos de los miembros de AFRINIC, críticos para la seguridad del registro. Ver también: Aldo Garcia.

La exposición abre la puerta al spam, phishing y ataques cibernéticos dirigidos. Ver también: Alcymer Vieira.

La posesión de la lista por parte de Smart Africa plantea preguntas sobre posibles fugas de datos internas de AFRINIC. Ver también: Alcides Cremonezi.

Los riesgos legales abarcan múltiples jurisdicciones con estrictas leyes de protección de datos. Ver también: Alberto Anaya.

Lea también: Mauricio en una encrucijada: cómo la lucha por la gobernanza de Internet refleja una batalla por la democracia

Riesgos de privacidad, seguridad y legales

Con la lista ahora expuesta, los miembros enfrentan la probabilidad de spam e intentos de phishing dirigidos. Los atacantes podrían hacerse pasar por AFRINIC u organismos relacionados para engañar a los destinatarios y hacer que revelen contraseñas, transfieran fondos o concedan acceso a la red. Ver también: Albert Kis.

Las ramificaciones legales son potencialmente graves. Los miembros de AFRINIC están repartidos en países con regímenes de privacidad estrictos, desde la Ley de Protección de Datos de Mauricio hasta el RGPD de la UE en territorios vinculados a Europa. La divulgación de información de contacto personal o corporativa sin consentimiento puede dar lugar a investigaciones, multas y reclamaciones civiles.

La pregunta clave sin respuesta es si Smart Africa obtuvo la lista legalmente en primer lugar. Sin una base legal clara, el hecho de poseer o usar los datos podría ser en sí mismo una violación, independientemente de la exposición accidental.

Lea también: Comité secreto de 'reformas' de AFRINIC suscita nuevas preocupaciones sobre la gobernanza de Internet en África

Otra crisis para AFRINIC

Para AFRINIC, esta filtración se suma a un año turbulento. Su elección de junta directiva de junio de 2025 fue anulada tras una disputa por un solo voto y acusaciones de manipulación de poderes. La organización está bajo supervisión judicial, y el presidente y director ejecutivo de la ICANN, Kurtis Lindqvist, ha criticado públicamente su gobernanza, lo que ha provocado acusaciones de que está intentando ejercer una influencia indebida sobre el registro.

Ahora, con los datos privados de sus miembros en manos de un organismo externo —y aparentemente mal manejados— AFRINIC se enfrenta a preguntas más profundas sobre si puede salvaguardar su información operativa más sensible. Si los datos provinieran de dentro de AFRINIC, la filtración no sería solo un error de comunicación de Smart Africa, sino también una señal de controles internos débiles.

Lea también: ¿ICANN o 'No puedo'? El director ejecutivo Lindqvist elige la dictadura sobre la democracia en AFRINIC

Responsabilidad de Smart Africa

Para Smart Africa, el error es básico pero con consecuencias. Los sistemas de correo masivo deberían tener por defecto prácticas de envío seguras, y las listas sensibles deberían manejarse con estrictos controles de acceso. Este descuido socava la credibilidad de Smart Africa como paladín de la transformación digital de África y plantea preguntas sobre sus estándares de gobernanza de datos.

La organización se enfrenta ahora a dos tareas urgentes:

1. Explicar cómo obtuvo la lista de contactos de los miembros de AFRINIC.
2. Reconocer públicamente la filtración y notificar a todas las partes afectadas.

Sin transparencia en ambos aspectos, la confianza seguirá erosionándose.

Lea también: Juez mauriciano impedido de investigar a AFRINIC en medio de la agitación preelectoral

Riesgo de repercusiones más amplias

La filtración también plantea una amenaza estratégica para el ecosistema de Internet africano. Con una lista verificada de miembros de AFRINIC en circulación, grupos rivales podrían intentar establecer registros alternativos o captar directamente a los clientes de AFRINIC. Eso podría fragmentar el sistema de registro, crear registros de direcciones IP contradictorios y dañar la estabilidad de las operaciones de Internet en la región.

Papel de Smart Africa en la gobernanza de Internet

Smart Africa es una iniciativa respaldada por la Unión Africana que reúne a más de 30 estados miembros para acelerar la transformación digital. Sus áreas de interés incluyen la expansión de la banda ancha, la armonización de políticas y la inversión en TIC.

Aunque no tiene autoridad formal sobre AFRINIC, Smart Africa se ha vuelto cada vez más activa en los debates sobre la gobernanza de Internet, incluidas las elecciones de AFRINIC y los procesos de políticas. El grupo también ha sido vinculado a propuestas para trasladar la sede de AFRINIC de Mauricio a Ruanda, una medida que ha dividido a la comunidad de AFRINIC.

En este contexto, la posesión y el mal manejo de los datos privados de los miembros de AFRINIC no es solo un desliz técnico. Afecta al núcleo de la confianza entre dos actores influyentes en el futuro digital de África. La comunidad esperará ahora una acción rápida y transparente de ambas organizaciones para explicar lo sucedido, proteger a los miembros de daños y garantizar que una filtración así no pueda volver a ocurrir.