En una de las violaciones de seguridad más graves del año, un presunto ciberatacante declaró tener acceso a una cantidad masiva de datos sensibles de Virgin Mobile en América Latina, poniendo en riesgo la información de más de 14 millones de usuarios, principalmente de Chile, Colombia y México.
Los datos comprometidos, según las pruebas exhibidas en un foro especializado en delitos informáticos, incluyen desde información personal de suscriptores de las tarjetas SIM, que podría utilizarse para clonar SIMs o realizar fraudes, así como números de identificación específicos de cada suscriptor, identificadores nacionales de usuario (como cédula de identidad en algunos países), entre muchos más datos.
Según Nicolás Azuara, analista en ciberseguridad y quien colaboró con Publimetro México en esta investigación, la veracidad del ataque es alta, ya que —además de las evidencias presentadas en el foro mencionado— se han encontrado registros históricos en las páginas de Virgin Mobile de Colombia y Chile, donde en algún momento se desplegó el mensaje: “La empresa se ha negado a proteger estos datos, por lo que ahora serán vendidos”.
“Si bien no existe postura oficial por parte de la empresa, el día de ayer su sitio web en Chile estuvo en mantenimiento programado”
— Nicolás Azuara, analista de ciberseguridad
Un saqueo masivo de información
El ciberatacante reveló que posee 1.7 terabytes (TB) de datos comprimidos, que, al descomprimirse, podrían superar los 3 TB. El riesgo es que dentro de esta información se encuentran bases de datos de usuarios y empleados de Virgin Mobile, además de registros detallados de llamadas (CDR) y, como se mencionó anteriormente, datos de tarjetas SIM.
Entre los archivos filtrados se destaca el archivo «vmauth_users.txt», que contiene 1.1 millones de líneas de datos de usuarios en Chile, y «subscriber_info_snapshot_20240321.sql», con 12.5 millones de registros de suscriptores en Colombia.
Millones de víctimas en América Latina
Los primeros análisis indican que el hackeo podría haber expuesto los datos de al menos 14.1 millones de personas. En Chile, aproximadamente 1.6 millones de usuarios estarían afectados, mientras que en Colombia la cifra asciende a 12.5 millones; sin embargo, estos números podrían ser solo la punta del iceberg, ya que el presunto hacker sugiere que tiene acceso a más información que incluye otros países de la región, como en el caso específico de México.
Entre los datos comprometidos —según las evidencias de vulneración— se encuentran nombres, direcciones, números de teléfono, y potencialmente números de identificación y detalles de cuentas bancarias. Además, la filtración incluye información sensible como los detalles de pago de los usuarios, lo que podría facilitar fraudes financieros de gran escala. Asimismo, con el acceso a los registros de llamadas, los atacantes también podrían rastrear patrones de comunicación, lo que agrega una capa adicional de riesgo para los usuarios.
Acceso a la infraestructura crítica
Además de las vulneraciones señaladas, el presunto atacante afirmó tener control de las infraestructuras críticas de Virgin Mobile. Esto incluye acceso de administrador a tres dominios de la empresa con alrededor de 700 hosts, lo que podría permitir al atacante ejecutar ataques adicionales, como ransomware o sabotaje de servicios. Asimismo, el acceso a llaves SSH y AWS sugiere que el hacker podría manipular recursos clave de la empresa en la nube.
Esta persona, que se identificó solamente con los números 576, amenazó con vender la información, un movimiento que podría convertir esta violación en una crisis global, debido al número potencial de usuarios vulnerados. Las empresas y víctimas deben estar preparados para la posibilidad de que sus datos ya estén circulando en mercados oscuros, ya que —aunque la publicación fue realizada el 21 de agosto pasado— se desconoce si ya existe algún comprador.
Medidas de seguridad recomendadas
Los usuarios de Virgin Mobile en América Latina deben estar especialmente vigilantes. Se recomienda cambiar contraseñas, monitorear cuentas bancarias y de tarjetas de crédito para detectar cualquier actividad inusual, y estar atentos a posibles fraudes de identidad. Además, activar la autenticación de dos factores (2FA) en todas las cuentas es crucial para añadir una capa adicional de seguridad.
Virgin Mobile responde
Virgin Mobile Latam confirmó el incidente significativo de ciberseguridad que ha comprometido la información de más de 14 millones de clientes. En eser sentido, Beyond ONE, la empresa matriz de Virgin Mobile en América Latina, reveló que la intrusión se debió a un acceso no autorizado a una de sus bases de datos de clientes.
Según un comunicado oficial de la empresa, su equipo de respuesta a incidentes actuó de inmediato para asegurar y redirigir todos los datos comprometidos.
“Nos tomamos muy en serio la privacidad y seguridad de la información de nuestros clientes y estamos trabajando diligentemente para resolver este asunto”, aseguró Virgin Mobile en el documento.
Información financiera y bancaria no están en riesgo
A pesar de la magnitud del ataque, la empresa garantizó que los datos más sensibles, como la información financiera y bancaria, no están en riesgo. Virgin Mobile explicó que, como parte de sus protocolos de seguridad, los datos bancarios y la información necesaria para realizar transacciones en su sitio web y aplicaciones no son almacenados en sus servidores, sino que permanecen en las instituciones financieras correspondientes.
Asimismo, se aseguró que las contraseñas de los clientes están encriptadas, lo cual minimiza el riesgo para la seguridad de los usuarios. La empresa ha implementado protocolos de seguridad adicionales y está llevando a cabo una revisión exhaustiva de sus sistemas para reforzar la protección de la información de sus clientes.
Finalmente, se informó que Virgin Mobile está colaborando estrechamente con las autoridades reguladoras para investigar el incidente y prevenir futuros ataques.
Esta investigación fue realizada en colaboración entre el analista en ciberseguridad Nicolás Azuara y el periodista Ignacio Gómez Villaseñor, editor general de Publimetro México.
