El foro de cibercriminales más popular en Rusia, conocido como XXS (acrónimo de “Cross-Site Scripting”, un tipo de vulnerabilidad de seguridad informática), publicó un anuncio ofreciendo a la venta una base de datos que, según el autor de la publicación, contiene información sensible de más de 27 millones de personas residentes en México.
Según el autor de la publicación, identificado como “Nick Diesel”, la información fue extraída de la empresa Especialistas Contacto Directo (ECD), cuyo sitio web es ecd(.)mx. Esta empresa, ubicada en la Ciudad de México, tiene oficinas en las alcaldías Tlalpan y Cuauhtémoc.
Cabe destacar que Nick Diesel posee una cuenta premium en el foro, ha participado en el sitio por más de tres años y cuenta con un amplio historial de publicaciones de filtraciones. Esto sugiere que la información que afirma tener, de la cual ofreció ciertas pruebas, podría ser auténtica.
En relación con el ataque, el portal Daily Dark Web, que monitorea amenazas informáticas tanto en el Internet tradicional como en la deep web, informó que el actor malicioso está vendiendo estos datos por cinco mil dólares, equivalentes a aproximadamente $83,406 MXN.
“(ECD) supuestamente fue víctima de una importante brecha de datos, con un actor de amenaza que afirma poseer más de 27,562,000 registros de clientes”
— Daily Dark Web
¿Qué información sensible estaría a la venta?
La publicación, realizada el pasado miércoles 15 de mayo, indica que la base de datos contiene información como nombre completo, RFC, dirección completa, teléfono celular, fecha de nacimiento, correo electrónico, tipo de cuenta bancaria, tarjeta de crédito, saldos de la tarjeta, días de mora, descuento mínimo y máximo autorizado, fecha de corte de la tarjeta, entre otros datos.
Esta información, que el presunto actor malicioso afirma poseer, coincide con las actividades declaradas por la empresa ECD en su sitio web, ya que incluyen un centro de atención al cliente para cobranzas y ventas, lo que sugiere que la empresa podría tener datos sobre cartera vencida, por la cual ofrecen servicios de recuperación de deudas.
En cuanto al elevado número de personas posiblemente afectadas, que representaría cerca del 20% de la población total del país, Publimetro México consultó al analista en ciberseguridad Nicolás Azuara. Aunque no confirmó ni negó la viabilidad de estas cifras, señaló que también podría tratarse de datos de avales o registros duplicados.
#Mexico 🇲🇽- Threat Actor Offers Database of Especialistas Contacto Directo for Sale at $5000
— Dark Web Intelligence (@DailyDarkWeb) May 16, 2024
Link: https://t.co/Hk5EbzWY2B#DarkWeb #ECD #marketing #IT #database pic.twitter.com/gMm0MLO2CT
Un foro de difícil acceso
El foro XSS, utilizado por grupos de APT (Amenaza Avanzada Persistente, por sus siglas en inglés), opera en ruso y no es de fácil acceso, lo que significa que la venta de este tipo de filtraciones se dirige a individuos con una sólida experiencia en el ámbito de la ciberdelincuencia.
Para acceder a XSS, se puede utilizar tanto navegadores encriptados y convencionales; sin embargo, es necesario crear una cuenta que debe ser aprobada por un administrador para visualizar y publicar contenido.
Este espacio sirve como plataforma para grupos de ransomware que buscan mantenerse al tanto de las últimas herramientas, técnicas y vulnerabilidades discutidas en la comunidad de hacking. Además, estos grupos utilizan XSS para hacer relaciones públicas, comentando en hilos sobre sus actividades y promocionando sus acciones para fortalecer su reputación.
Algunos de los grupos que han utilizado o continúan utilizando este foro ruso incluyen a Lockbit, recientemente afectado como parte de la Operación Cronos llevada a cabo por el FBI en colaboración con otras agencias internacionales de inteligencia, así como REvil, Avoslocker, EternityTeam, Babuk, Darkside, entre otros.
La creciente importancia de estos foros en los últimos años está directamente relacionada con el aumento de incidentes cibernéticos. Es por ello que otros sitios, como Breach Forums, recientemente han sido intervenidos por el FBI para evitar la propagación de amenazas.