Casi un millón de miembros de cannabis social clubs y de coffee shops han visto cómo sus datos personales quedaban expuestos en Internet durante varias semanas.
La filtración proviene de CCS Nube, la plataforma SaaS desarrollada por Cannabis Club Systems (CCS), una entidad comercial de la empresa irlandesa Nefos Solutions Ltd, utilizada por 377 establecimientos en más de 40 países para gestionar afiliaciones, identidades y transacciones.
Fue Sammy Azdoufal, investigador en ciberseguridad y miembro de un club de Barcelona, quien descubrió la vulnerabilidad en abril de 2026 tras descargar la aplicación móvil opcional de su club, PuffPal, y haber descompilado su código.
La base de datos expuesta habría contenido información sobre 1 082 680 socios registrados, entre los que se encontraban cerca de 986 000 documentos de identidad, como pasaportes, documentos nacionales de identidad y permisos de conducir. Más de 104 000 ciudadanos franceses figuran entre los usuarios afectados.
En la base de datos figuran algunos de los clubes más conocidos del sector, como el Bulldog de Ámsterdam, con 53 011 perfiles, o el Strain Hunters de Barcelona, el Choko, el Firehouse o el Selva.
Estadísticas de la filtración de datos
Cómo se descubrió la vulnerabilidad
El problema salió a la luz después de que Azdoufal, miembro de un club social de cannabis de Barcelona, examinara la aplicación móvil opcional PuffPal, desarrollada por CCS para facilitar las inscripciones en el club y la gestión de los socios.
Al analizar el código de la aplicación, descubrió que la infraestructura de backend carecía de controles de seguridad básicos. Con solo modificar los identificadores numéricos asociados a las cuentas de los usuarios, pudo acceder a los expedientes personales de otros socios.
«Escribí un bucle. Lo dejé funcionando toda la noche. A la mañana siguiente, tenía 1 082 680 registros», escribió Azdoufal en su informe técnico.
La vulnerabilidad no solo afectó a los usuarios de PuffPal. Según el investigador, los datos expuestos procedían de CCS Nube, la plataforma central utilizada por los clubes para gestionar las afiliaciones, la verificación de identidad, la mensajería y los pagos. Por lo tanto, las personas que nunca se hubieran descargado la aplicación móvil también podrían haber visto sus datos expuestos.
Las fotos de los documentos de identidad se almacenaban en URL públicas predecibles, sin ningún tipo de control de acceso. Cada día se añadían cinco mil nuevos escaneos en estas condiciones.
Paralelamente, se identificaron otras vulnerabilidades: una clave secreta de Stripe (con acceso completo a la cuenta de pago) codificada de forma estática en el APK de la aplicación, credenciales de Firebase expuestas que permitían acceder a los tokens de notificaciones push de 25 425 cuentas, y 9 030 mensajes privados entre miembros y clubes accesibles sin validación de propiedad.
Información sensible relacionada con el consumo de cannabis
La información filtrada iba mucho más allá de los simples datos de contacto.
Según la investigación de Next.ink, los perfiles expuestos podían incluir nombres, direcciones de correo electrónico, números de teléfono, direcciones postales, fechas de nacimiento, nacionalidades, números de documentos de identidad y copias escaneadas de pasaportes o documentos de identidad.
La base de datos también contenía información sobre los hábitos de consumo de cannabis de los miembros, en particular los niveles de consumo mensuales declarados y las variedades preferidas.
«El portero físico de la entrada comprueba tu carné de socio. El portero digital, en cambio, no estaba allí», resumió Azdoufal.
La distribución por nacionalidad de los usuarios afectados pone de manifiesto el carácter internacional de los socios de los clubes. Los grupos más numerosos de socios afectados eran ciudadanos españoles, italianos, franceses, sudafricanos, británicos, alemanes y estadounidenses.
Esta filtración también suscita inquietud entre los ciudadanos de países en los que el cannabis sigue estando severamente penalizado. El investigador señaló que la base de datos incluía a miembros con pasaportes de países como Arabia Saudí, Kuwait y los Emiratos Árabes Unidos, donde los delitos relacionados con el cannabis pueden acarrear graves consecuencias legales.
Dudas sobre el cumplimiento del RGPD
La gestión de este incidente es, sin duda, cuestionable. Según Azdoufal, alertó por primera vez a CCS en abril de 2026, pero no recibió respuesta alguna durante varias semanas a pesar de sus múltiples intentos por ponerse en contacto con la empresa.
Next.ink y The Verge informaron de que solo se produjo una respuesta significativa tras la intervención de los periodistas y cuando la publicación de las conclusiones parecía inminente. De acuerdo con las normas del RGPD, las organizaciones deben, por lo general, notificar a las autoridades de control competentes en un plazo de 72 horas tras tener conocimiento de una violación de datos personales.
En declaraciones a The Verge, el cofundador de CCS, Andreas Nilsen, reconoció la gravedad de la situación y afirmó que la empresa estaba cooperando con la Comisión de Protección de Datos de Irlanda.
«Tenemos que ponernos en contacto con todas las personas que puedan haberse visto afectadas», declaró Nilsen al periódico.
En el momento de redactar esta noticia, los responsables de los clubes a los que hemos podido entrevistar no tenían conocimiento de la filtración de datos.
Medidas de emergencia e investigación en curso
Tras la divulgación pública de las vulnerabilidades, CCS ha comenzado a aplicar medidas correctivas. Según declaraciones facilitadas a varios medios de comunicación, la empresa ha restringido el acceso a los terminales afectados, ha cerrado temporalmente la aplicación PuffPal y ha iniciado una investigación interna.
El director técnico de la empresa, Sean Nilsen, declaró a los medios de comunicación que ya se habían corregido varias vulnerabilidades y que los esfuerzos de corrección continuaban.
«Nos tomamos muy en serio la seguridad y la protección de los datos personales», afirmó el Sr. Nilsen.
Las pruebas independientes realizadas por Azdoufal el 10 de junio sugirieron que algunas de las vulnerabilidades más críticas, en particular las imágenes de documentos de identidad accesibles al público, finalmente se habían solucionado.
Hasta la fecha, no se ha encontrado ninguna prueba de extracción maliciosa de datos. Los socios afectados pueden ejercer sus derechos de acceso (artículo 15) y de supresión (artículo 17) ante su club, así como presentar una reclamación ante su autoridad nacional de protección de datos.