Solo en enero de 2025, al menos 2 millones de usuarios y contraseñas de mexicanos fueron filtradas en la dark web, según una investigación realizada por el analista de ciberseguridad Nicolás Azuara. Entre la información comprometida se hallaron más de 1.3 millones de accesos a direcciones de correo electrónico, lo que facilita el envío de correos de phishing y otros ataques dirigidos.
Azuara también identificó más de 420,000 RFCs, lo que representa un grave riesgo para la seguridad fiscal de miles de contribuyentes. Además, se expusieron cerca de 121,000 números telefónicos, utilizados comúnmente para fraudes de suplantación de identidad a través de llamadas y mensajes.
Igualmente, el informe reveló que más de 133,000 CURPs fueron comprometidas en el periodo referido, lo que podría permitir la falsificación de documentos oficiales. En cuanto a datos relacionados con la seguridad social, más de 17,500 números de Seguro Social (NSS) quedaron expuestos, lo que podría derivar en fraudes dentro del IMSS o Infonavit.
Además, Azuara refirió que uno de los hallazgos más alarmantes es la filtración de más de 8,000 números de tarjetas bancarias, algunas incluso con el código de seguridad CVV, lo que las hace especialmente vulnerables a fraudes financieros.
¿Cómo se identificaron los datos mexicanos filtrados?
Para determinar que los registros pertenecían a usuarios mexicanos —entre los archivos filtrados con datos globales—, Azuara utilizó diversos criterios. En el caso de los correos electrónicos, analizó aquellos con dominio .mx o registrados en sitios web con ese sufijo.
En tanto, los RFCs fueron verificados mediante su estructura única y su uso como credenciales en plataformas gubernamentales. Asimismo, los CURPs y NSS fueron identificados gracias a su formato, mientras que los números telefónicos se validaron al tener el prefijo +52 o claves LADA nacionales.
En cuanto a las tarjetas bancarias, se verificó su autenticidad a partir de los números de identificación bancaria (BIN) de instituciones financieras mexicanas.
El SAT lidera filtraciones de sitios gubernamentales
Uno de los hallazgos más relevantes es que el Servicio de Administración Tributaria (SAT) encabeza la lista de sitios gubernamentales con más credenciales comprometidas. Esto sugiere que múltiples filtraciones de datos en plataformas oficiales siguen ocurriendo o que los contribuyentes caen en sitios con malware que tienen la capacidad de robar datos como contraseñas (infostealers).
“La información filtrada nos da un amplio panorama del estado de la ciberseguridad en el país. Por ejemplo, encontramos que los mexicanos prefieren contraseñas entre 8 y 12 caracteres, lo que puede facilitar su vulnerabilidad”, explicó Azuara.
Otro dato preocupante es que al menos 2,000 tarjetas bancarias filtradas incluyen su código de seguridad CVV, lo que incrementa el riesgo de fraude financiero, ya que con estos datos cualquier delincuente podría realizar compras en línea sin mayores complicaciones.
Más de 2 millones de registros en un mes… y solo es el principio
El investigador aclaró que, si bien se encontraron más de 2 millones de contraseñas y accesos comprometidos, esto no significa que haya sido el mismo número de personas afectadas. Es posible que una misma persona aparezca en varias filtraciones con diferentes datos, lo que amplifica el riesgo de exposición.
“Lo peor es que solo almacené usuarios que cumplieran con los criterios que buscaba. No guardé nombres de usuario aleatorios, solo datos que puedan vincularse con personas reales en México”, señaló Azuara.
¿Qué pueden hacer los usuarios?
Frente a esta situación, los mexicanos deben reforzar sus medidas de seguridad digital. Es fundamental utilizar contraseñas seguras y únicas, evitando repetirlas en diferentes plataformas, además de habilitar la autenticación en dos pasos siempre que sea posible. También se recomienda ser cauteloso con correos y mensajes sospechosos, evitando hacer clic en enlaces desconocidos que puedan derivar en ataques de phishing.
Otro paso clave es monitorear constantemente movimientos bancarios para detectar posibles fraudes. Además, herramientas como Have I Been Pwned permiten verificar si alguna de las credenciales ha sido filtrada y tomar medidas al respecto; no obstante, hay que aclarar que no aparecer en dicho sitio no garantiza que una contraseña no haya sido robada.
