En un hackeo que habría comprometido la seguridad millones de clientes de Virgin Mobile en América Latina, se confirmó la exposición de datos bancarios de usuarios en México, contradiciendo las declaraciones iniciales de la empresa. Esta violación de seguridad afecta a usuarios en Chile, Colombia y México, de acuerdo con los datos expuestos por los atacantes.
El pasado miércoles 21 de agosto, un ciberatacante autodenominado “576″ afirmó haber accedido a 1.7 terabytes de datos comprimidos de Virgin Mobile, exponiendo información personal y potencialmente sensible de millones de usuarios. Entre los datos comprometidos se encuentran nombres, direcciones, números de teléfono, y, según las pruebas presentadas, también información financiera y detalles de transacciones bancarias.
Virgin Mobile Latam confirmó la intrusión, pero aseguró en un comunicado que los datos financieros y bancarios de sus clientes no estaban en riesgo, afirmando que dicha información no se almacena en sus servidores, sino que reside en las instituciones financieras correspondientes. Además, señalaron que las contraseñas de los clientes estaban encriptadas y que se habían implementado medidas adicionales para reforzar la seguridad de los sistemas.
“Se detectó el ataque de un software malicioso y nuestro equipo de respuesta actuó de inmediato, asegurando y redirigiendo todos los datos”
— Comunicado de prensa de Beyond ONE, que adquirió a Virgin Mobile
Atacantes presentan evidencia del hackeo
Un día después de que se publicó la información, los presuntos atacantes enviaron un correo electrónico a Publimetro México y proporcionaron pruebas de la información robada. Entre las evidencias, se incluyen capturas de pantalla de documentos de identidad de clientes chilenos y una base de datos con movimientos bancarios de usuarios en México. Nicolás Azuara, analista en ciberseguridad que ha colaborado con este medio en dicha investigación, verificó que los datos correspondían a transacciones reales de bancos mexicanos, las cuales incluyen montos de pagos, los últimos cuatro dígitos de tarjetas de crédito, nombres completos del cliente y número de celular.
Desde que se reportó el hackeo, las páginas web de Virgin Mobile en Chile, México y Colombia han experimentado inestabilidad, con varios periodos de inaccesibilidad. Inicialmente, en los sitios web se desplegó un mensaje amenazante, supuestamente colocado por los atacantes, que decía: “La empresa se ha negado a proteger estos datos, por lo que ahora serán vendidos”. Aunque Virgin Mobile atribuyó estos problemas a mantenimiento programado, posteriormente confirmó que fueron atacados.
“Estamos trabajando en estrecha colaboración con las autoridades reguladoras para investigar activamente el asunto y prevenir cualquier hecho posterior”
— Comunicado de prensa de Beyond ONE, que adquirió a Virgin Mobile
Confirmación de las víctimas
Para verificar la autenticidad de la filtración, Publimetro México contactó a varias personas cuyos datos aparecían en la base enviada por los atacantes. Todas las víctimas confirmaron haber sido usuarios de Virgin Mobile entre 2019 y 2024 y reconocieron que los pagos mostrados en la base correspondían a transacciones reales que realizaron con sus tarjetas de crédito.
Una de las víctimas comentó: “Es muy grave esto. Me sorprendió que tuvieran mi nombre completo. Sí tuve Virgin Mobile por cinco años (...) La información que le dieron, al menos la mía, es cierta”. Otro usuario expresó su preocupación y mencionó que había cambiado de compañía, pero que su número sí estuvo asociado a Virgin Mobile.
Medidas de seguridad recomendadas
Ante la confirmación de la exposición de datos bancarios, se recomienda a los usuarios de Virgin Mobile en América Latina que monitoreen sus cuentas bancarias y tarjetas de crédito para detectar cualquier actividad inusual. También es aconsejable cambiar contraseñas y activar la autenticación de dos factores (2FA) en todas las cuentas para reforzar la seguridad.
En el caso de los usuarios afectados en México, es recomendable denunciar la vulneración ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) debido a que sus datos personales fueron afectados tras el hackeo a la empresa de telefonía.
La denuncia por un tratamiento indebido de tus datos personales debe contener:
- El nombre completo de la persona denunciante o, en su caso, de su representante legal.
- El domicilio o medio para recibir notificaciones.
- La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probarlos.
- El nombre de la institución o empresa responsable del tratamiento de datos personales.
- Los datos de localización de la organización denunciada.
- La firma del denunciante o de su representante.
Virgin Mobile insiste en que no se comprometió información financiera
Virgin Mobile LATAM envió un comunicado posterior a la publicación de esta investigación e insistió en que no se ha comprometido información financiera de los clientes en el reciente ataque de ciberseguridad, ya que aseguran no almacenar tales datos. Afirmaron que todas las transacciones son gestionadas por pasarelas de pago independientes y que su equipo de ciberseguridad actuó rápidamente para contener un ataque de ransomware. La empresa también aseguró estar cooperando plenamente con las autoridades y revisando sus protocolos de seguridad para evitar futuras amenazas.
Sin embargo, a pesar de estas afirmaciones, Publimetro México ha confirmado que los atacantes han obtenido datos bancarios de usuarios que son o fueron clientes de Virgin Mobile. Esta información ha sido verificada con las víctimas de la filtración. En respuesta, Publimetro México está dispuesto a entregar a la empresa cualquier información adicional que pueda ayudar a rastrear el origen de la brecha de seguridad.