El grupo de ransomware LockBit 3.0 cumplió su amenaza y liberó en su sitio alojado en la dark web 97.7 gigabytes de documentos confidenciales pertenecientes a OSSC México, una empresa dedicada al desarrollo de software de nómina y administración de recursos humanos.
Publimetro México tuvo acceso directo a la filtración y constató la existencia de miles de documentos que contienen información laboral, fiscal y personal de más de siete mil personas. Entre los archivos filtrados hay recibos de nómina, contratos laborales, credenciales del INE, CURP, comprobantes de domicilio, cartas de antecedentes no penales y hasta pruebas psicométricas.
Datos altamente sensibles expuestos
Según el análisis del árbol de archivos de la filtración, se identificaron:
- 3,658 copias de credenciales del INE
- 474 comprobantes de domicilio
- 424 CURP en PDF
- 409 documentos de nómina
- 407 contratos laborales
- 149 cartas de antecedentes penales
- 197 documentos con datos bancarios
- 52 archivos relacionados con el SAT
- 26 registros con RFC
- 38 vinculados al INFONAVIT
En total, se detectaron más de 7,000 expedientes digitales individuales, muchos de ellos estructurados por nombre o número de empleado. Esto indica que cada carpeta podría corresponder a un trabajador distinto.
La exposición de estos datos representa un riesgo crítico de robo de identidad, fraudes financieros, suplantación laboral y extorsión. Además, compromete la seguridad de empresas que utilizaron el sistema GIRO, utilizado por OSSC, para la administración de su personal.
OSSC y el software GIRO: puerta de entrada al desastre
OSSC México es una empresa ubicada en Zapopan, Jalisco, especializada en servicios de tecnología para recursos humanos. Su producto más importante es GIRO, un sistema para administrar nóminas, contratos, pagos y movimientos contables de empleados.
Al ser proveedor de soluciones para diversas empresas mexicanas, la brecha de seguridad afecta también a terceros, ya que muchos de los documentos filtrados podrían pertenecer a trabajadores de otras compañías clientes de OSSC.
LockBit 3.0: el ransomware más peligroso del mundo
LockBit es un grupo de ransomware originado en Rusia que opera desde 2019. Utiliza el modelo de Ransomware-as-a-Service (RaaS), lo que permite a afiliados usar sus herramientas para lanzar ataques a cambio de una comisión del rescate cobrado.
En 2024, LockBit fue considerado por agencias como el FBI y Europol como uno de los grupos más activos y peligrosos del planeta. Ha atacado hospitales, gobiernos, universidades y compañías multinacionales.
En febrero de 2025, LockBit publicó un mensaje dirigido a OSSC México exigiendo el pago de un rescate por 100 GB de información robada. El plazo venció y, tal como advirtió el grupo, los archivos fueron liberados públicamente.
“Cuando el temporizador termine la cuenta regresiva, podrás encontrar los enlaces con todos los datos sensibles descargados en esta publicación. Si no están, espera. Los archivos definitivamente estarán aquí”, escribió LockBit en su sitio.
Las consecuencias para las víctimas
El impacto de esta filtración es mayúsculo. Con los datos disponibles, es posible que ciberdelincuentes realicen:
- Apertura de cuentas bancarias falsas
- Fraude fiscal ante el SAT
- Créditos ilegales en nombre de terceros
- Extorsión laboral con datos confidenciales
- Venta de identidades en el mercado negro
A diferencia de otras brechas, esta filtración no sólo afecta a una empresa, sino que expone la vida laboral completa de miles de trabajadores mexicanos.
“Los atacantes pueden aprovechar la información extraída de las bases de datos de la primera víctima para infiltrarse en otras empresas. Mediante técnicas de ingeniería social, pueden suplantar la identidad de la víctima y engañar a sus contactos para obtener acceso a nuevos sistemas y expandir el ataque”
— Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad
Sin respuesta institucional por parte de OSSC
Hasta el momento, OSSC México no ha emitido una postura pública sobre el incidente, ni se tiene conocimiento de que el gobierno o la autoridad fiscal hayan abierto una investigación.
Expertos en ciberseguridad advierten que esta brecha podría sentar un precedente sobre la necesidad de regular el manejo de datos sensibles en proveedores tecnológicos.
