Una investigación del analista en ciberseguridad Nicolás Azuara, compartida en exclusiva a Publimetro México, reveló que al menos 66,730 tarjetas bancarias mexicanas fueron expuestas en la más reciente filtración de BidenCash, uno de los grupos cibercriminales más activos en foros clandestinos de compraventa de datos.
La filtración, compartida originalmente en el foro ruso XSS y replicada en canales de Telegram, contiene un archivo de casi un millón de registros con datos completos de tarjetas bancarias: número, fecha de expiración, nombre del titular y el código de seguridad (CVV).
El peligro de esta exposición no se limita al uso inmediato de los datos, sino a la posibilidad de fraudes más elaborados mediante suplantación de identidad, compras con validación por SMS (si se obtienen teléfonos filtrados en otras bases de datos) o incluso para alimentar redes de tarjetas clonadas en América Latina.
Filtración confirmada y análisis detallado
El archivo fue analizado por el director de Nico Tech Tips con técnicas de cruce de datos entre los primeros seis dígitos de las tarjetas (conocidos como BINs o Bank Identification Numbers) y una base mexicana que contiene más de dos mil BINs emitidos por bancos mexicanos. Esto permitió identificar qué tarjetas eran nacionales y, en muchos casos, de qué institución.
El resultado: se hallaron 66,730 tarjetas que coinciden con BINs asignados a emisores mexicanos. En este grupo destacan BBVA, Santander, HSBC, Banorte, Bancoppel, Banamex, Azteca y Afirme, entre otros. Azuara detalló que se encontraron desde tarjetas débito hasta productos prepagados y empresariales, incluyendo también 89 plásticos que, aunque no estaban asociados a un banco específico, están asignados a México según los datos del emisor.
BidenCash y su historia de filtraciones
El grupo BidenCash se ha consolidado como una de las principales plataformas de distribución de datos robados de tarjetas bancarias desde su aparición en 2022. A diferencia de otros foros, este grupo ofrece bases de datos completas con CVV incluido, y muchas veces lo hace sin costo, como una forma de ganar reputación o atraer nuevos usuarios a su plataforma.
En este caso, la publicación en XSS —un foro de acceso restringido— se realizó en abril de 2025 y fue replicada en canales de Telegram de ciberdelincuencia. Publimetro analizó los archivos disponibles, usando herramientas automatizadas y verificación manual de coincidencias con BINs mexicanos.
¿Qué sucede con los códigos de seguridad dinámicos?
Algunas personas tienden a minimizar la amenaza bajo el argumento de que los códigos CVV o CVC cambian con frecuencia o que muchos bancos tienen sistemas antifraude; sin embargo, los expertos advierten que la información combinada (número de tarjeta, fecha de expiración y CVV) es extremadamente valiosa en el ecosistema de ciberdelincuencia. Es usada en ataques automatizados, validaciones de tarjetas en tiendas online vulnerables y también para fraudes dirigidos a través de llamadas o mensajes.
