Una reciente filtración de datos expone la información de millones de mexicanos, en su mayoría pensionados del IMSS, revelando una preocupante falta de seguridad en el resguardo de datos por parte de una empresa que maneja información bancaria y de cobranza de más del 20% de la población.
El pasado 26 de octubre, un ciberatacante, denominado Nick Diesel, puso a la venta información de 1.2 millones de clientes de Libertad Servicios Financieros; sin embargo, el experto en ciberseguridad y fundador de SILIKN, Víctor Ruiz, advierte que este hacker podría tener la intención de divulgar, de forma gradual, bases de datos adicionales que comprometen la seguridad de 27 millones de mexicanos.
El origen de esta vulneración parece estar relacionado con la empresa Especialistas en Contacto Directo (ECD), cuya filtración se reportó desde agosto de 2024. Ruiz señala que ECD, como se evidencia en las pruebas que Nick Diesel publicó en un foro de cibercrimen, cuenta con bases de datos no solo de Libertad, sino también de varias otras empresas como Inbursa, Telcel, Banco Azteca, Sears, Credifranco, Totalplay, Telmex y muchas más.
Nick Diesel, el database broker que opera en la deep web
El vendedor de las filtraciones mencionadas, quien se autodenomina “Corredor de bases de datos” en sus canales de Telegram y en el foro ruso XSS —uno de los más restrictivos y donde operan ciberdelincuentes con amplio historial de ataques— utiliza métodos sofisticados para validar la autenticidad de los datos antes de venderlos, publicando archivos de muestra.
Entre los medios de contacto disponibles, el hacker utiliza TOX y Jabber, plataformas de comunicación encriptada que dificultan su rastreo.
Los datos ofrecidos por Nick Diesel —en el caso de Libertad Servicios Financiero— incluyen nombres, RFC, CURP, números de seguro social, direcciones y teléfonos de pensionados y clientes bancarios. Estos detalles personales exponen a las víctimas a riesgos elevados de robo de identidad, fraudes financieros y extorsiones, situación que se agrava considerando que muchos de ellos son personas de la tercera edad.
El caso de ECD y una potencial megafiltración de información
Ruiz explicó que ECD, como call center y gestor de cobranza, tiene acceso a información de múltiples empresas mexicanas, incluyendo Inbursa, Telcel, Banco Azteca, Sears, Credifranco, Totalplay y Telmex. Asimismo, después de realizar una investigación a los antecedentes de la firma, el especialista halló un riesgo potencial de que la filtración de datos haya surgido por parte de extrabajadores.
La hipótesis del origen de la vulneración se debe a que ECD cuenta con un historial de prácticas laborales cuestionables. En foros de quejas y videos en YouTube, extrabajadores y clientes acusan a la empresa de trato indebido, incumplimiento de normas laborales y tácticas agresivas de cobranza.
“Pensando en esto, es posible que los demás clientes de ECD también estén en riesgo de que sus datos y bases se filtren por la inestabilidad que podría tener la empresa”, comentó a Publimetro México el fundador de SILIKN.
Reportajes ‘borrados’ de Internet también revelan abusos en ECD
El CEO de ECD, Israel Ricaño, enfrenta múltiples denuncias ciudadanas de prácticas de cobranza abusiva y de ejercer un estilo de liderazgo autoritario. En un reportaje del medio Quinta Fuerza, clientes y exempleados señalan a Ricaño de instruir a su equipo para acosar a deudores mediante llamadas y mensajes amenazantes. Esta cultura de presión extrema, conocida también como el modus operandi de los montadeudas, podría haber incrementado el resentimiento entre el personal.
El gran riesgo para los clientes de gigantes tecnológicos
El especialista Víctor Ruiz sugiere que la venta de datos podría escalar rápidamente, ya que Nick Diesel podría planear comercializar las bases de datos por separado. Esto implica que, además de la base de Libertad Servicios Financieros, los datos de otros clientes de ECD, como Credifranco y Telmex, estarían a la venta, exponiendo a millones de personas a riesgos financieros y de privacidad.
Ruiz advirtió que esta filtración representa un “riesgo sin precedentes” en México, no solo por la magnitud, sino porque revela el nivel de vulnerabilidad de las empresas que subcontratan sus servicios de cobranza y atención al cliente a call centers sin los debidos controles de ciberseguridad.
“Quizá a muchos no les suena ECD, pero sí Inbursa, Libertad, Telcel, TotalPlay. No sería raro (que venda por separado las bases obtenidas de EDC), pues a lo mejor así obtiene más ingresos”, advirtió el especialista en seguridad informática.
Libertad Servicios Financieros niega vulneración de datos
Posterior a la publicación de la presente nota periodística, la empresa Libertad Financiera envió una solicitud de derecho de réplica negando que su información haya sido vulnerada. Para dar el espacio correspondiente, incluimos su postura sobre dicho tema:
“Libertad Servicios Financieros cuenta con estrictos protocolos de ciberseguridad que cumplen con las más altas normativas del sector para proteger la información personal y financiera de todos nuestros clientes. Rechazamos categóricamente las insinuaciones de que nuestros sistemas de seguridad se han visto comprometidos, y queremos asegurar a nuestros clientes y al público en general que mantenemos un monitoreo constante para evitar cualquier vulnerabilidad”.