Noticias

Exhiben en la dark web a 1.3 millones de mexicanos que realizaron pruebas psicométricas

Datos de aspirantes a un empleo, incluyendo correos electrónicos y contraseñas de Psicotest.mx se han puesto en venta en un foro de hackers

Filtración de Psicotest.mx: cibercriminales exponen datos psicométricos, laborales y personales de millones de mexicanos.
Filtración de Psicotest.mx: cibercriminales exponen datos psicométricos, laborales y personales de millones de mexicanos. Foto: Publimetro México
Por Ignacio Gómez Villaseñor

Un conocido traficante de bases de datos, identificado como Nairo, publicó en un foro de la dark web una base de datos que comprometería la información personal de más de 1.3 millones de mexicanos que realizaron pruebas psicométricas.

Nairo, quien ha estado implicado en múltiples filtraciones a nivel mundial, habría obtenido esta información del sitio Psicotest.mx, una plataforma especializada en procesos de reclutamiento empresarial. Según un análisis realizado por Nicolás Azuara, experto en ciberseguridad de Nico Tech Tips, el sitio presenta graves deficiencias en sus protocolos de protección de datos.

“Generan su clave de acceso como un código con minúsculas, mayúsculas y números. Confiar en sólo un código —de siete caracteres— como medida de seguridad para las cuentas es deficiente, sobre todo considerando que manejan datos personales”

—  Nicolás Azuara, analista de ciberseguridad de Nico Tech Tips

Nairo y los riesgos para los mexicanos

Nairo compartió una muestra de la base de datos en un foro de hackers para respaldar la autenticidad de la información robada. Los registros incluyen datos sensibles como nombres completos, correos electrónicos, fechas de nacimiento, números telefónicos y contraseñas para acceder al perfil de cada usuario.

Cabe destacar que este tipo de filtraciones son parte del modus operandi habitual de Nairo, quien recientemente, el 4 de diciembre, también puso a la venta bases de datos de aplicaciones financieras que comprometieron la seguridad de 580 mil mexicanos.

Datos de pruebas psicométricas, correos electrónicos y contraseñas de Psicotest.mx son vendidos en un foro de hackers.
Datos de pruebas psicométricas, correos electrónicos y contraseñas de Psicotest.mx son vendidos en un foro de hackers. Foto: Publimetro méxico

¿Realmente se comprometieron los datos de Psicotest?

El análisis preliminar realizado por Nicolás Azuara en colaboración con Publimetro México confirmó que las cuentas afectadas están activas y corresponden a personas reales. Entre la información filtrada podrían encontrarse datos laborales y confidenciales de los usuarios, lo que agrava la situación.

El alcance de la filtración particularmente preocupante, considerando que Psicotest.mx reporta haber realizado más de 20 millones de pruebas psicométricas relacionadas con competencias laborales, inteligencia, comportamiento, honestidad y valores éticos.

Los accesos que proporcionó como evidencia Nairo son reales.
Los accesos que proporcionó como evidencia Nairo son reales.

El riesgo de ataques de phishing contra personas desempleadas

La muestra publicada por Nairo revela registros con datos personales detallados, lo que expone a los afectados a diversos riesgos como ataques de phishing, ingeniería social o accesos no autorizados a cuentas laborales y personales. Además, la filtración podría impactar negativamente a las empresas que utilizan Psicotest para sus procesos de reclutamiento, ya que los perfiles comprometidos incluyen el nombre de las compañías asociadas con las pruebas realizadas por los usuarios.

Nairo aseguró que la filtración se originó por una brecha de seguridad ocurrida en 2022. Esto plantea serias dudas sobre las medidas de protección implementadas por Psicotest y su capacidad para gestionar la seguridad de los datos de sus usuarios.

La evidencia de la información comprometida

Según el análisis de Nicolás Azuara, es probable que el atacante solo haya accedido a la base de datos principal, sin comprometer los resultados de las pruebas psicométricas. Aunque los registros permiten subir documentos personales y fotografías, Nairo no mencionó la existencia de este tipo de archivos en su publicación.

“Es probable que el atacante haya accedido a la base de datos debido a un error de configuración en el servidor, el uso de contraseñas vulnerables o mediante una inyección SQL”, explicó Azuara a Publimetro México.

Alertas para a usuarios y clientes de Psicotest

  1. Campañas de phishing dirigidas: Uno de los riesgos más alarmantes es el potencial para realizar campañas de phishing altamente personalizadas. Con los datos filtrados, como el nombre del usuario, su correo electrónico, las fechas en que realizaron las pruebas y las empresas a las que aplicaron, los atacantes podrían enviar mensajes fraudulentos que aparenten ser de los reclutadores o de las empresas relacionadas. Estas campañas podrían engañar a los usuarios para que compartan información adicional, descarguen malware o proporcionen acceso a cuentas sensibles.
  2. Denuncia cualquier afectación. Si recibes correos o llamadas sospechosas, repórtalo a las autoridades locales, a la Unidad de Policía Cibernética o a Psicotest directamente. Sé cauteloso con correos, llamadas o mensajes sospechosos que soliciten información adicional.
  3. Exposición de empresas y daño a su reputación. La filtración no solo afecta a los individuos, sino también a las empresas que utilizaron Psicotest para sus procesos de reclutamiento. Los registros filtrados revelan las compañías para las cuales los candidatos realizaron pruebas psicométricas, lo que podría ser utilizado para desprestigiarlas o realizar ataques dirigidos contra sus sistemas. Además, esto podría generar desconfianza en sus procesos de selección y dañar su reputación corporativa.

Recomendados:

DV Player placeholder

Tags

Lo Último