Una base de datos, que supuestamente contiene la información bancaria de 27.5 millones de mexicanos, fue puesta a la venta en uno de los foros de hackers más utilizados en el mundo por solo 3,500 dólares, es decir, aproximadamente 68 mil pesos. Dichos datos, incluirían información sensible de una compañía que resguarda información de deudores para ejecutar acciones de cobranza.
Como prueba de la autenticidad de la información, el usuario compartió una lista con datos de una treintena de personas, que incluye ID, nombre completo, CURP, dirección, teléfono principal, teléfono celular, ID del comercio, monto adeudado, días de morosidad y el crédito disponible.
Esta información parece haber sido extraída tras un ataque a Especialistas Contacto Directo (ECD), una compañía que ofrece servicios de recuperación de cartera vencida. La base de datos fue inicialmente ofrecida por cinco mil dólares en el foro de cibercriminales más famoso de Rusia, conocido como XXS, lo que sugiere que podría estar en reventa.
¿Cómo ocurrió el ataque?
El contexto de esta filtración se remonta al 26 de mayo de 2024, cuando el foro ruso XXS, acrónimo de “Cross-Site Scripting”, publicó un anuncio ofreciendo una base de datos con información sensible de más de 27 millones de mexicanos. El autor del anuncio, conocido como “Nick Diesel”, es un usuario con cuenta premium y un extenso historial de filtraciones, lo que refuerza la credibilidad de su oferta.
Nick Diesel afirmó que la información proviene de Especialistas Contacto Directo (ECD), una empresa con oficinas en Tlalpan y Cuauhtémoc, Ciudad de México. ECD se especializa en la recuperación de deudas, lo que sugiere que la base de datos podría contener detalles sobre morosidad y otros datos financieros personales.
El foro XXS, que opera en ruso y es de difícil acceso, es conocido por albergar discusiones y transacciones relacionadas con técnicas avanzadas de hacking y ransomware. Este foro es utilizado por grupos de amenazas avanzadas persistentes (APT), como Lockbit, REvil y Darkside, que exploran y comercializan vulnerabilidades y datos robados.
También se vende en grupos de mensajería cifrada
La base de datos, que supuestamente contiene 27,562,000 registros en un archivo CSV de 38 GB, también fue ofrecida en un grupo de hackers de mensajería cifrada el pasado 2 de agosto. El costo en esta plataforma es igualmente de 3,500 dólares, lo que sugiere que podría tratarse del mismo revendedor que publicó en el foro de hackers.
En este grupo de mensajería cifrada, se publicaron imágenes que indican que la base de datos incluye detalles sobre el seguimiento de las deudas, con anotaciones como “buzón de voz”, “se agenda llamada”, “no contesta”, entre otros. Además, se detalla la información sobre las empresas de las cuales provienen las deudas, con registros separados por cada carpeta, como 242 mil deudores de Fovissste y 400 mil de la aplicación Credifranco, entre otros.
Al respecto, Publimetro México consultó al experto en ciberseguridad Nicolás Azuara, quien previamente había analizado la filtración. Azuara coincidió en que la información podría estar en reventa, proveniente de la filtración original realizada por el usuario Nick Diesel. Además, señaló que, dentro de los 27.5 millones de presuntos deudores, es posible que existan registros duplicados, lo que reduciría el número real de afectados.