AGENCIA
Nacional.- Una masiva filtración de datos con más de 500 mil combinaciones de usuarios y contraseñas relacionadas con servicios mexicanos fue publicada gratuitamente en Telegram, como parte de una estrategia para promocionar un bot de búsqueda de accesos ilícitos que asegura contener más de 17.5 millones de credenciales asociadas a plataformas en México.
De acuerdo con un análisis realizado por Publimetro México, la filtración, compartida bajo el nombre “[MX]-URL_LOGIN_PASS.txt”, contiene exactamente 503 mil 258 combinaciones con el formato URL:usuario:contraseña. La mayoría de los datos estaban en texto plano, sin ningún tipo de cifrado, y muchos empleaban correos personales con contraseñas simples o claves institucionales como RFCs, matrículas o números de servidor público.
Plataformas gubernamentales comprometidas
Entre los accesos filtrados se encuentran dominios sensibles como portales del SAT, universidades, bancos y sistemas oficiales con terminaciones .gob.mx. En particular, se identificaron al menos mil 061 accesos válidos al portal de Capital Humano de la Ciudad de México, desde donde los trabajadores pueden consultar recibos de nómina, archivos XML, ZIP con información fiscal, y documentos para declaraciones patrimoniales.
El portal, ubicado en el dominio i4ch-capitalhumano.cdmx.gob.mx, permite la visualización de datos como RFC, CURP, nombre completo, sueldo, plaza, prestaciones y número de empleado. Según el especialista en ciberseguridad Nicolás Azuara, director de Nico Tech Tips, la cifra real de credenciales comprometidas en esa plataforma podría alcanzar hasta 7 mil 110 accesos.
MoonSearcher, el bot que comercializa accesos
La filtración no solo expone la gravedad del problema, sino que forma parte de una campaña para atraer usuarios a MoonSearcher, un bot de Telegram que cobra por consultas personalizadas y permite buscar combinaciones de URL, login y contraseña (ULP) por país, dominio o tipo de servicio.
MoonSearcher, que se promociona como una “herramienta innovadora para bases ULP”, tiene una base de 17.5 millones de credenciales mexicanas y cobra desde 70 dólares por búsqueda, ofreciendo resultados en segundos y sin duplicados.
El bot permite filtrar resultados por tipo de acceso -por ejemplo, exclusivamente dominios .gob.mx o .edu.mx, bancos, plataformas de streaming o telefonía- y se encuentra operativo las 24 horas. Su canal, con casi 16 mil seguidores, ha compartido combos similares de otros países como Argentina, Filipinas o Polonia.
La magnitud del riesgo
La base de datos filtrada en Telegram pesa 49 MB y representa una grave amenaza para la seguridad digital de usuarios mexicanos, ya que casi la mitad de las credenciales corresponden a servicios gubernamentales. En total, se contabilizaron 245 mil 490 accesos a dominios .gob.mx, incluyendo portales como el SAT, CFE, SEP, Condusef, Infonavit, y universidades como UNAM, IPN, UABC y UAEH.
Además, se encontraron accesos válidos a bancos como Banorte, HSBC y Banco del Bienestar, así como a plataformas de e-commerce, servicios de envío, apuestas y entretenimiento, lo que amplifica el alcance del daño potencial.
La filtración masiva y la existencia de herramientas como MoonSearcher reflejan una creciente sofisticación en el mercado ilegal de credenciales. Si no se toman medidas inmediatas para revocar accesos, cambiar contraseñas y fortalecer la autenticación, miles de usuarios mexicanos podrían ver comprometida su información personal, laboral y fiscal.
Las autoridades de ciberseguridad y las instituciones afectadas aún no han emitido posicionamientos públicos al respecto.
