Una nueva publicación sobre datos sensibles en México surgió en uno de los foros de ciberdelincuencia más frecuentados del mundo, sugiriendo el posible acceso a una base de datos con información biométrica de cerca de 100,000 ciudadanos mexicanos.
Bajo el alias “AKA_Astaroth”, el supuesto vendedor asegura poseer datos críticos, entre ellos, imágenes de iris, huellas dactilares y copias digitales de credenciales de elector del Instituto Nacional Electoral (INE), completas con vistas de ambos lados.
En la publicación, AKA_Astaroth intenta autentificar su oferta con ejemplos visuales de la información en su poder: una imagen de iris, una huella digital y las dos caras de una credencial del INE. Además, asegura tener acceso a datos biométricos en toda la República Mexicana, aunque omite detalles específicos sobre la fuente de esta supuesta base de datos.
Para determinar qué tan real podría ser la información que dice tener el atacante, Publimetro México consultó con el analista en ciberseguridad Nicolás Azuara, quien señaló que la credencial aparentemente es real y fue escaneada, la fotografía del iris se encuentra sin procesar y la huella presenta ciertas anomalías que le hacen dudar que provengan de un lector electrónico.
Historial y actividad en el mercado negro del presunto atacante
En diciembre de 2023, este mismo usuario publicó ofertas relacionadas, afirmando tener acceso a un panel de SMS de una conocida institución gubernamental y una compañía aseguradora asociada con eventos de la Liga MX. Estos antecedentes elevan las sospechas sobre la autenticidad de su publicación actual y su conocimiento del ecosistema de datos confidenciales en México.
¿De dónde pudo surgir la vulneración de datos biométricos?
En cuanto a posibles entidades gubernamentales que pudieron ser vulneradas, es importante señalar que el INE recopila datos biométricos limitados, tales como huellas dactilares y rasgos faciales, mientras que el Servicio de Administración Tributaria (SAT) también almacena datos biométricos, utilizados en la emisión de la firma electrónica (e.firma).
Por su parte, la Comisión Nacional Bancaria y de Valores (CNBV) gestiona información similar para prevenir fraudes de identidad en operaciones bancarias, mientras que la Secretaría de Relaciones Exteriores (SRE) sí incluye la captura de imágenes de iris en su protocolo de tramitación de pasaportes, lo cual no ocurre con las otras instituciones mencionadas.
Aunque las pruebas publicadas por AKA_Astaroth no bastan para confirmar la veracidad de la filtración, el riesgo de que tal base de datos sea real y esté a la venta es significativo. Si estos datos biométricos llegaran a comercializarse, podrían facilitar delitos como la suplantación de identidad y fraudes financieros a gran escala, dado el valor creciente de los datos biométricos en mercados clandestinos de la deep web.
Aumentan ofertas ilícitas de datos biométricos de mexicanos
No es la primera vez que se habría expuesto este tipo de información sensible. Como reportó Publimetro México el 17 de octubre, el INE denunció recientemente ante la Fiscalía General de la República (FGR) la existencia de una organización criminal que afirma vender datos biométricos de más de 100 millones de mexicanos, con un precio que supera los 85,000 pesos.
La denuncia, presentada ante la Fiscalía Especializada en Materia de Delitos Electorales (FISEL) el 2 de septiembre de 2024, surgió tras varios reportajes que documentaban el modus operandi de esta red. Aunque el INE no ha detectado una vulneración de sus bases de datos, ha dejado en manos de las autoridades la investigación del caso.
CURP biométrica, el riesgo a futuro
El interés por la venta de biométricos coincide con los avances en la implementación de la CURP biométrica, que algunos estados comenzarán a exigir en 2025. En este nuevo sistema, los ciudadanos deberán acudir a oficinas del Registro Civil para que se les capturen datos como huellas dactilares, firma digital e imágenes de iris.
Las ciudades pioneras en el proceso incluyen Xalapa, Poza Rica, Misantla, Tantima y Coatzacoalcos, y el proceso ha despertado inquietudes sobre el resguardo y seguridad de esta información ante un contexto reciente de incidentes informáticos que han evidenciado serias deficiencias en ciberseguridad en diversas instituciones.
Claves del caso de presunta venta de datos biométricos
- Acceso a biométricos por mil dólares: AKA_Astaroth ofrece acceso a datos biométricos sensibles de mexicanos, incluidos iris, huellas y credenciales del INE, a cambio de mil dólares.
- Pruebas insuficientes, pero riesgo elevado: Aunque las pruebas presentadas son limitadas, la oferta pone en riesgo de suplantación de identidad y otros fraudes graves.
- Antecedentes de accesos comprometidos: En diciembre de 2023, el atacante ya había ofrecido acceso a un sistema de SMS de una institución gubernamental y una aseguradora.
- Datos biométricos en aumento en el mercado negro: La demanda y el valor de los datos biométricos siguen en alza en la deep web, donde se cotizan a precios altos por su uso en fraudes.
- Preocupación ante la implementación de la CURP biométrica: El proceso de captación biométrica en México aumenta los riesgos de exposición, resaltando la importancia de mejorar la ciberseguridad en el país.
