Un grupo de ciberdelincuentes que opera bajo el nombre de KillSec añadió a su lista de víctimas a TMC, una empresa mexicana especializada en el transporte de materiales y residuos peligrosos. La compañía fue amenazada con la filtración de miles de archivos internos, a menos de que paguen una cantidad —que no fue revelada— en los próximos seis días.
KillSec, que ya ha filtrado información sensible de empresas mexicanas —como el caso de Interforos Casting—, publicó varios documentos como evidencia de que cuenta con los datos; sin embargo, de acuerdo con un análisis realizado en conjunto entre Publimetro México y el especialista en ciberseguridad JayeLTee, el ataque estaría relacionado con una falla de seguridad de TMC.
KillSec: un grupo que no usa ransomware, pero sí la extorsión
A diferencia de bandas tradicionales de ransomware, KillSec no cifra los archivos de sus víctimas ni ataca sus sistemas de manera intrusiva, como afirman. En cambio, según el experto en ciberseguridad JayeLTee, este grupo se especializa en encontrar servidores abiertos, extraer información y luego amenazar a las empresas con publicarla si no pagan un rescate.
De acuerdo con JayeLTee, prácticamente todas las víctimas de KillSec han tenido servidores expuestos antes de ser ‘hackeadas’: “He rastreado sus últimos 20 registros/publicaciones y todos correspondían a buckets expuestos (almacenamiento sin protección)”.
En el caso de TMC, KillSec publicó una muestra de documentos en su sitio de filtraciones, los cuales incluyen comprobantes de pago, facturas y registros financieros. La filtración inicial serviría como advertencia, esperando que la empresa contacte al grupo y negocie para evitar que se libere el resto de la información.
77,000 archivos filtrados: información financiera y logística en riesgo
Un análisis preliminar de los archivos expuestos, realizado por Publimetro México con el apoyo de JayeLTee, reveló que el servidor comprometido contiene aproximadamente 77,000 documentos, en su mayoría facturas, comprobantes de pago y registros de transferencias bancarias.
También se encontraron referencias a empresas de la industria minera, logística e industrial, como Peñoles, Bimbo, Molycop y SQM, lo que sugiere que datos financieros de clientes clave también quedaron vulnerables.
Asimismo, una revisión de una parte de los archivos proyecta lo siguiente:
- 70-80% de los archivos son documentos financieros (facturas, pagos, depósitos).
- Incluyen registros de clientes clave en el sector industrial y logístico.
- El servidor sigue activo y ha estado agregando archivos de manera continua desde septiembre de 2024.
Lo más preocupante es que el servidor de TMC no ha sido asegurado, lo que significa que sigue expuesto y podría estar alimentando con nuevos datos a los ciberdelincuentes.
Extorsión y posibles riesgos para TMC
El modus operandi de KillSec sugiere que TMC podría estar siendo presionada para pagar un rescate en criptomonedas. Si la empresa no accede a la demanda, el grupo criminal podría:
- Liberar la base de datos completa en la dark web, permitiendo que cualquier persona acceda a los documentos internos.
- Vender la información financiera a grupos de fraude, quienes podrían utilizarla para realizar estafas empresariales o interceptar transacciones.
- Exponer información sobre rutas y logística del transporte de residuos peligrosos, lo que podría comprometer la seguridad de los envíos.
Paz Mental y TMC: dos casos de filtración de datos por servidores mal configurados
Este incidente recuerda el caso de Paz Mental, una empresa mexicana dedicada a la rehabilitación de adultos mayores, cuyo servidor expuso miles de expedientes médicos sensibles. En febrero de 2025, se descubrió que su base de datos contenía información sobre diagnósticos psiquiátricos, datos personales y financieros de pacientes vulnerables, exponiéndolos a fraudes y extorsión.
Ambos casos revelan un problema estructural en la ciberseguridad de las empresas mexicanas: muchas no están protegiendo sus servidores en la nube, dejando información crítica expuesta y convirtiéndose en objetivos fáciles para grupos como KillSec.
De esta manera, como explica JayeLTee, el patrón es el mismo en TMC y Paz Mental. No es que los hayan hackeado, es que ellos mismos dejaron sus servidores abiertos al mundo y KillSec solo está explotando estos errores para chantajearlos.
