Kiperfy, una start-up mexicana que en 2023 fue rechazada en Shark Tank México debido a su modelo de negocio de alto riesgo, ahora enfrenta una de las filtraciones de datos más graves registradas en el país. La empresa, dedicada a la administración digital de propiedades para desarrolladores, administradores de inmuebles y fideicomisos inmobiliarios (fibras), ha visto comprometidos datos de más de 50 mil usuarios, afectando tanto a clientes individuales como a grandes corporaciones y entidades gubernamentales.
La filtración, de 5.89 GB distribuidos en 205 archivos CSV, expone información altamente sensible, incluyendo datos bancarios, transacciones, accesos a propiedades y contraseñas en texto plano. Además, existen registros actualizados hasta marzo de 2025.
Según un análisis realizado por Publimetro México, los datos filtrados incluyen:
- Datos personales: nombres, correos electrónicos, teléfonos y contraseñas sin cifrar, lo que facilita accesos no autorizados.
- Correos de usuarios gubernamentales: aparecen direcciones de segob.gob.mx, hacienda.gob.mx y pemex.com, lo que confirma que trabajadores del gobierno también han sido afectados.
- Datos bancarios: transacciones con diversos montos, nombres de bancos como Banamex, BBVA, Banorte, HSBC y Santander, y referencias de cuentas utilizadas en la plataforma.
- Conversaciones de los chats internos de la aplicación, revelando discusiones entre administradores y residentes sobre temas financieros y de seguridad de los inmuebles.
- Registros de accesos a propiedades, con identificación de dispositivos conectados y códigos QR generados para ingresos.
La filtración fue publicada este viernes 21 de marzo de 2025 en un grupo de cibercriminales administrado por Nick Diesel, un conocido traficante de bases de datos que anteriormente ha filtrado información de programas gubernamentales, call centers y aplicaciones en México. Diesel anunció el acceso gratuito a la base de datos de Kiperfy, facilitando su propagación.
Kiperfy, un sistema vulnerable desde su diseño
Según el experto en ciberseguridad Víctor Ruiz, fundador de SILIKN, la aplicación presentaba graves deficiencias en su seguridad:
“Este tipo de apps suelen enfrentar problemas de seguridad por no integrar prácticas de ‘Security by Design’, destacando fallas como autenticación débil, inyección de código (SQLi, XSS), APIs mal protegidas, errores de configuración, falta de cifrado adecuado, dependencias vulnerables y ausencia de monitoreo y respuesta a incidentes, lo que deja expuesta la información sensible y facilita ataques”.
— Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN
Asimismo, un análisis de IA realizado por Publimetro México indica que la probabilidad de que los datos correspondan efectivamente a Kiperfy es del 88.3%, con base en la estructura de la información, la presencia de términos clave, la coincidencia con el modelo de negocio de la empresa y la mención explícita de Kiperfy en la publicación de la filtración.
“Es muy grave, porque además es información totalmente vigente”
— Víctor Ruiz, fundador de SILIKN y especialista en ciberseguridad
De Shark Tank a una crisis de ciberseguridad
Kiperfy no es una empresa desconocida. En septiembre de 2023, su fundador Mau Lamas presentó la start-up en el programa Shark Tank México, buscando una inversión de $800,000 USD por el 20% de su empresa. Sin embargo, los “tiburones” rechazaron la propuesta por considerar que la valuación era demasiado elevada y la rentabilidad insuficiente.
“Te toma, según mis matemáticas, 133 años recuperar esa inversión”, mencionó Patricia Armendáriz durante la transmisión.
A pesar del rechazo, la empresa continuó su crecimiento y expandió su modelo a Colombia, Costa Rica y Perú, hasta ahora que se enfrenta a su mayor crisis.
Una filtración que Kiperfy no podrá negar
Ruiz enfatizó que Kiperfy podría intentar negar la autenticidad del ataque, pero la evidencia es contundente:
“Creo que es información sumamente sensible y aunque es probable que Kiperfy pueda negar el ataque y decir que la información es falsa, a mí me parece que sí deben hacerse responsables, porque la información confirmada abre muchísimas posibilidades al cibercrimen”.
¿Cuáles son los riesgos derivados de la filtración?
- Suplantación de identidad y fraudes bancarios debido a la exposición de datos personales y transacciones.
- Accesos no autorizados a propiedades con los registros de códigos QR y dispositivos vinculados.
- Extorsiones y ataques de phishing dirigidos contra usuarios cuyos correos electrónicos quedaron expuestos.
¿Qué debió haber hecho Kiperfy?
Ruiz explicó que para prevenir este tipo de incidentes, la empresa debería haber implementado medidas de seguridad desde el inicio del desarrollo:
“Esta empresa debería haber integrado la seguridad desde el inicio del desarrollo con prácticas de ‘Security by Design’, implementando autenticación robusta (como 2FA), validación y sanitización de datos para evitar inyecciones, cifrado adecuado de información sensible, configuraciones seguras en servidores y bases de datos, actualización constante de sus librerías y monitoreo continuo para detectar y responder a incidentes rápidamente”.
— Víctor Ruiz, fundador de SILIKN y especialista en ciberseguridad
