Un usuario identificado como iZED publicó en un foro de ciberdelincuencia de la dark web una lista que incluye las credenciales de acceso de 111 mil contribuyentes del Servicio de Administración Tributaria (SAT) en México. El archivo contiene usuarios, contraseñas y las claves privadas de la Firma Electrónica (e.firma), así como información sobre el portal específico al que pertenece cada clave.
La publicación fue compartida de manera gratuita, con el aparente objetivo de promocionar un grupo de mensajería cifrada administrado por el mismo usuario. Este grupo es conocido por ofrecer accesos y credenciales de diversos países, así como herramientas para realizar actividades ilícitas como fraudes, spam y campañas de phishing. Además, iZED, quien también utiliza el alias Zedington, vende servicios diseñados para enseñar a nuevos ciberdelincuentes cómo realizar este tipo de ataques.
La filtración del SAT y su contexto global
Este jueves 12 de diciembre, además de las credenciales del SAT, iZED compartió combolist de países como Estados Unidos, Reino Unido, Grecia, Francia y Polonia, junto con listas específicas de servicios de correo electrónico como AOL y Hotmail.
Estas combolist son archivos que contienen combinaciones de credenciales organizadas en un formato estándar (URL:LOGIN:PASS), y suelen ser utilizadas para realizar ataques masivos de acceso indebido, especialmente en plataformas donde las personas reutilizan contraseñas.
El impacto de la filtración es significativo, ya que —como comprobó Publimetro México— el grupo de mensajería cifrada administrado por iZED cuenta con cerca de 1,500 miembros que tienen acceso a estos archivos de forma gratuita. Aunque estos archivos pueden contener malware, su descarga y uso representan un riesgo inmediato para los usuarios afectados.
Riesgos asociados a la filtración del SAT
Las credenciales filtradas están relacionadas con portales críticos del SAT, como:
- Facturación electrónica.
- Generación de CFDI.
- Trámites digitales diversos.
La exposición de estas credenciales pone en riesgo la privacidad y seguridad financiera de los contribuyentes. Entre los posibles usos indebidos de esta información se encuentran:
- Acceso indebido a cuentas: Permite a ciberdelincuentes alterar o consultar información fiscal.
- Suplantación de identidad: Usar las claves privadas de la e.firma para realizar trámites a nombre de terceros.
- Campañas de phishing dirigidas: Utilizar los datos filtrados para engañar a las víctimas y obtener información adicional, como datos bancarios o números de tarjetas.
El phishing: una amenaza directa ante la filtración
El uso de las credenciales en campañas de phishing es uno de los mayores riesgos. Los ciberdelincuentes pueden enviar correos electrónicos o mensajes que aparenten ser del SAT, solicitando a las víctimas ingresar más información o actualizar sus datos en un enlace falso. Estas estrategias pueden llevar a un mayor compromiso de datos y consumar fraudes financieros.
Recomendaciones para usuarios del SAT
Ante la confirmación de que algunas contraseñas aún son funcionales, se recomienda a todos los contribuyentes afectados:
- Cambiar sus contraseñas de inmediato.
- Evitar reutilizar contraseñas en múltiples servicios.
- Habilitar mecanismos de autenticación de dos factores si están disponibles.
- Verificar la autenticidad de los correos electrónicos y mensajes que soliciten información sensible.
- Monitorear constantemente la actividad de sus cuentas para detectar accesos no autorizados.