El servidor de una startup mexicana que colabora con grandes empresas transnacionales en el país está expuesto en Internet, conteniendo más de seis millones de archivos, entre los que se incluyen documentos de identificación personal y datos sensibles que podrían caer en manos de delincuentes que se dedican a cometer fraudes digitales.
Aunque la compañía fue advertida desde septiembre de 2024 de esta situación, los datos siguen a la luz pública y en cualquier momento podrían ser descargados por cibercriminales para cometer potenciales actos de extorsión, como pudo confirmar Publimetro México después de recibir la alerta.
La empresa comprometida es Cargamos, dedicada a la recolección, procesamiento y entrega de paquetes. Entre sus clientes se encuentran marcas reconocidas como Zara, Privalia y La Europea. La compañía opera en al menos 75 ciudades en México y cuenta con una fuerza laboral de miles de repartidores asociados.
De acuerdo con el investigador independiente JayelTee, experto en identificar servidores vulnerables, los datos de Cargamos están expuestos desde al menos el 21 de julio de 2023. El investigador advierte que brechas como esta son comúnmente explotadas por ciberdelincuentes para extorsionar a empresas, amenazándolas con la publicación de información robada en la red.
Documentos sensibles de repartidores son expuestos en Internet
Entre los más de 6 millones de archivos en el servidor, se incluyen más de 100,000 documentos privados de cerca de 19,000 repartidores asociados. Tras analizar la información, se confirmó que los documentos corresponden a datos que los repartidores proporcionaron al registrarse en la empresa, como CURP, comprobantes de domicilio, licencias de conducir y credenciales de elector.
Asimismo, JayelTee presentó a Publimetro México pruebas que muestran que los documentos están almacenados en una carpeta denominada “associates_documents,” accesible desde una URL pública. Los archivos están organizados por hashes únicos, lo que facilita identificar información individual de cada asociado, exponiéndolos a fraudes o ataques de phishing.
Advertencias de exposición fueron ignoradas
El 15 de septiembre de 2024, JayelTee notificó a Cargamos y al equipo de respuesta a incidentes (CERT) de la Guardia Nacional sobre la exposición de los datos; sin embargo, aseguró que no recibió respuesta ni observó acciones para mitigar el problema.
Ante la falta de reacción, el investigador decidió exponer el caso con el objetivo de que la brecha sea corregida antes de que los datos sean explotados por actores maliciosos, como ocurrió con la agencia mexicana Interforos Casting, que recientemente dejó expuesto un servidor que fue utilizado por el grupo de ransomware KillSec para exigir dinero a cambio de no filtrar los datos en la web.
JayelTee, quien ha reportado vulnerabilidades similares en al menos 18 países, advirtió que la inacción de Cargamos podría derivar en un ataque cibernético, como extorsiones bajo falsos casos de ransomware —como el caso de Interforos Casting— o incluso la venta de los datos en mercados ilegales.
Riesgos y consecuencias de la exposición de datos
La exposición de los datos de Cargamos implica riesgos significativos:
- Privacidad comprometida: Datos personales de 19,000 repartidores podrían ser utilizados para fraudes o suplantaciones de identidad.
- Clientes en peligro: Millones de etiquetas de envío relacionadas con grandes marcas podrían facilitar estafas dirigidas a clientes finales.
- Impacto económico y reputacional: Una filtración de esta magnitud podría dañar gravemente la confianza en la startup, resultando en pérdidas financieras considerables y afectaciones legales.
La situación subraya la importancia de implementar medidas de seguridad robustas en startups que manejan grandes volúmenes de datos sensibles. La inacción ante advertencias como esta podría desencadenar graves consecuencias para todas las partes involucradas.
