El operador móvil virtual Retemex, que utiliza la red 4.5G LTE de México, sufrió una grave vulneración de seguridad que compromete los datos de miles de usuarios en todo el país. Según reportes en foros de ciberdelincuentes, la información ya habría comenzado a filtrarse en la deep web.
De acuerdo los informes más recientes, la filtración de datos fue causada por un ataque del grupo de ransomware conocido como RansomEXX el 14 de septiembre de 2024, lo que ha llevado a la exposición de 24,883 registros de clientes, incluidos contraseñas en texto simple, lo que supone un riesgo significativo para la seguridad de los usuarios.
Retemex es una empresa mexicana de telecomunicaciones que ofrece servicios de internet inalámbrico, tanto para el hogar como para dispositivos portátiles, además de telefonía móvil. Opera como un operador móvil virtual (OMV), utilizando la red de Altán para proporcionar conectividad en todo el país, con cobertura en aproximadamente el 57% del territorio nacional.
Filtración llega a foros de ciberdelincuencia
Al respecto, Víctor Ruiz, instructor certificado de seguridad informática y fundador de SILIKN, dio declaraciones para Publimetro México en las que señala que, tras el ataque, los ciberdelincuentes filtraron la información en un sitio de leaks.
A pesar de que el enlace a la filtración original no es accesible de forma legal, debido a que se requieren créditos —que se obtienen al utilizar estos sitios de ciberdelincuencia—, la probabilidad de que los datos circulen en Internet es alta debido a los antecedentes en este tipo de ataques.
“Retemex tiene un sitio bastante incompleto en donde no se puede consultar, por ejemplo, el aviso de privacidad y otros temas que tienen relación con la forma en la que le dan tratamiento a los datos de los usuarios, por lo que podemos pensar que no tienen buenas prácticas de ciberseguridad”, advirtió Ruiz.
Debido al riesgo potencial, especialistas como Ruiz han emitido una alerta para advertir a los usuarios de Retemex que podrían haber sido expuestos a riesgos como fraudes, robo de identidad y ataques dirigidos, si la información filtrada es auténtica.
Uno de los puntos más alarmantes de este incidente es que, a 15 días de la vulneración, Retemex no ha emitido una declaración oficial sobre el ataque ni ha informado a sus usuarios sobre los riesgos potenciales.
Impacto para los usuarios
Los datos filtrados incluyen información sensible, como contraseñas en texto simple, lo que es particularmente preocupante. Esto significa que cualquier persona con acceso a la filtración podría utilizar las credenciales para intentar acceder a cuentas de correo, redes sociales o incluso a servicios financieros, exponiendo a los usuarios a delitos cibernéticos.
Además, al no contar con sistemas robustos de protección, muchos usuarios podrían estar en riesgo sin siquiera saberlo. La filtración de contraseñas en texto plano es una de las peores formas de exposición de datos, ya que no implica ningún tipo de encriptación o protección adicional.
Además de las contraseñas, los registros filtrados podrían contener información personal como nombres, direcciones y números de teléfono, que son datos valiosos en el mercado negro de la información. Esto podría derivar en fraudes masivos y un incremento en el robo de identidad.
Confirmación del ataque
Publimetro México tuvo acceso a la información filtrada por el grupo de ransomware hallando información confidencial de miles de usuarios de Retemex.
Además de los correos electrónicos y contraseñas, el archivo incluye información detallada sobre números de teléfono y, en algunos casos, nombres completos junto con CURP o RFC.
Aunque el archivo no contiene datos explícitos de ubicación, los números de teléfono proporcionan indicios de las áreas geográficas de los usuarios afectados. Por ejemplo, muchos números están asociados a códigos de área de distintas regiones de México, como Guadalajara (33), Ciudad de México (55), y Monterrey (81), lo que sugiere que el impacto de la filtración es nacional.
