El grupo de ransomware Cl0p cumplió su amenaza. Tras anunciar a principios de marzo que había comprometido a la empresa mexicana Interfactura, esta semana liberó en la red oscura un conjunto de archivos que confirman la magnitud del ataque. Entre la información publicada hay facturas electrónicas completas, certificados de seguridad, configuraciones de red, registros de error y datos de empresas nacionales e internacionales.
En un inicio, Interfactura calificó el incidente como un evento sin impacto operativo ni afectación a sus clientes; sin embargo, a través de un análisis realizado por los especialistas en ciberseguridad Víctor Ruiz, fundador de SILIKN, y Nicolás Azuara, director de Nico Tech Tips, se confirmó que los archivos filtrados contienen información fiscal válida, documentos reales y datos que podrían ser utilizados para suplantaciones, fraudes o ataques dirigidos.
“El ataque puede traer consecuencias graves no solo a Interfactura, sino a sus clientes y a los clientes de sus clientes”, advirtió Ruiz, quien desde el inicio ha dado seguimiento al caso.
¿Qué es Interfactura y por qué importa?
Interfactura es uno de los Prestadores de Servicios de Certificación (PSC) autorizados por la Secretaría de Economía para emitir y validar facturas electrónicas (CFDI) en México. Esto la convierte en una pieza clave dentro del ecosistema fiscal del país. Miles de contribuyentes utilizan su plataforma gratuita, y muchas grandes empresas del sector privado confían en sus servicios.
Entre sus clientes figuran gigantes como FEMSA, Grupo Salinas, Banorte, Cemex, Liverpool, HP y Home Depot. De ahí que cualquier vulneración a sus sistemas represente un riesgo potencial para un universo mucho mayor que el de su propia infraestructura.
Lo que contienen los archivos filtrados
1. Facturas electrónicas completas (CFDI)
Archivos XML y PDF con datos reales de transacciones: RFCs, razones sociales, montos, descripciones y sellos digitales. Las facturas corresponden a operaciones de empresas como Hewlett-Packard Enterprise (HPE), Colgate, Home Depot, Pepsico, Volkswagen, OXXO, Soriana, entre otras.
2. Certificados digitales y contraseñas
“Encontramos certificados de seguridad y contraseñas de los mismos”, confirmó Ruiz. Entre ellos están los de empresas como Dell, RedBull, Sherwin-Williams, Conagra, Comercial Mexicana y Cardif.
3. Configuraciones de red y servidores
Los documentos muestran detalles sobre servidores AS2, incluyendo IPs, puertos, certificados públicos y parámetros de comunicación. Esto revela parte de la arquitectura usada para intercambiar documentos con clientes y autoridades.
4. Registros de error y cancelaciones masivas
Se encontraron archivos .ERROR.TXT vinculados a cancelaciones de CFDIs, errores en timbrado y UUIDs repetidos.
“Me llama la atención el manejo de errores en la facturación. Por lo que veo, es un sistema interno”
— Nicolás Azuara, analista de ciberseguridad y director de Nico Tech Tips
5. Directorios de empleados y software instalado
Los archivos contienen referencias a usuarios internos y los programas que utilizan en sus equipos. “Puede convertirse en vulnerabilidad si no hay segmentación adecuada”, añadió Ruiz.
6. Complementos de comercio exterior y layouts
Facturas con complemento CCE y estructuras fiscales usadas para la integración con sistemas como SAP también aparecen entre los archivos, lo que da pistas sobre las operaciones y tecnologías de los clientes.
Riesgos prácticos para las empresas
La información publicada expone relaciones comerciales, detalles de software utilizado y hasta configuraciones que podrían permitir ataques posteriores. Es decir, la filtración afecta directamente a Interfactura, pero también indirectamente a quienes han emitido o recibido facturas a través de ella. De acuerdo con los especialistas consultados por Publimetro México existe:
- Riesgo de suplantación fiscal: con certificados y CFDI reales se podrían emitir comprobantes falsos.
- Riesgo para la cadena de suministro: se conoce qué proveedores tiene cada empresa y qué sistema utilizan, lo que permite ataques escalonados.
- Riesgo de fraude y extorsión: con facturas reales se podría simular interacciones legítimas y entregar archivos infectados.
“Este tipo de datos permite a los cibercriminales conocer tecnologías, cadenas de proveedores y debilidades específicas”, explicó Ruiz.
El siguiente paso: claridad y prevención
Aunque Interfactura afirmó que revisa sus protocolos de seguridad y arquitectura tecnológica, hasta el cierre de esta edición no ha emitido un nuevo posicionamiento tras la liberación de los archivos.
Expertos recomiendan a las empresas afectadas revocar certificados, reforzar la vigilancia de sus CFDIs emitidos y revisar posibles vulnerabilidades internas. También llaman al SAT e instituciones gubernamentales de transparencia a establecer protocolos claros para responder a filtraciones que comprometan información fiscal.
“Es mucha información, pero lo realmente importante es que se expone tanto la estructura interna de los sistemas como información sensible de grandes corporativos”, concluyó Ruiz.
