Un actor de amenazas identificado como bmox publicó en el foro clandestino XSS —de acceso restringido— una oferta titulada “Premium Mexican Infrastructure Access”, en la que asegura tener acceso exclusivo a un sistema estatal mexicano. El paquete, que se ofrece por $30,000 dólares, está dirigido a compradores “serios” que busquen acceso estratégico a una red de alto nivel.
Para obtener más detalles, exige un depósito reembolsable de $3,000 USD (alrededor de 60 mil pesos mexicanos) a través de un sistema de fideicomiso (escrow), una práctica común en mercados ilegales para filtrar a los curiosos y evitar estafas entre los propios criminales.
La oferta especifica que no se proporcionarán pruebas del acceso hasta después del depósito, lo que refuerza la impresión de que se trata de una operación cerrada, destinada a actores con recursos y experiencia.
¿Quién es bmox y por qué preocupa?
Aunque su actividad pública es limitada, el historial de bmox revela un perfil técnico peligroso. En 2023 aseguró que podía enviar hasta mil millones de correos al año, lo que apunta a capacidades para operar redes de spam masivo o campañas de phishing.
Ese mismo año ofreció desarrollar programas verificadores de correos electrónicos en PHP, Python y NodeJS, herramientas usadas tanto para limpieza de bases de datos como para ataques dirigidos.
En 2024, buscó adquirir CraxsRat, un malware de administración remota para Android que permite espiar dispositivos sin que el usuario lo note. Este software es compatible con versiones recientes del sistema operativo móvil, y se promueve en foros clandestinos como “indetectable” incluso por las protecciones modernas de Google.
Todo indica que bmox no es un simple intermediario, sino un operador técnico con experiencia directa en herramientas de ciberintrusión.
¿Qué infraestructura podría estar comprometida?
De acuerdo con un análisis de Víctor Ruiz, instructor certificado en ciberseguridad, fundador de SILIKN y líder del Capítulo Querétaro de la Fundación OWASP, es probable que la infraestructura crítica comprometida pertenezca a alguno de los siguientes sectores.
- Energía: Pemex, CFE o la refinería Dos Bocas
- Finanzas: SAT o el sistema SPEI
- Defensa e inteligencia: SEDENA o el Centro Nacional de Inteligencia
- Transporte: AIFA o Tren Maya
- Comunicaciones: plataformas digitales utilizadas por dependencias gubernamentales
Posibles vínculos con el crimen organizado
El modo de operación de bmox —uso de escrow, lenguaje técnico preciso, exigencia de reputación para cerrar tratos— apunta a que podría estar colaborando con actores más grandes. Según Víctor Ruiz, no se descarta que esté vinculado con organizaciones criminales como el Cártel Jalisco Nueva Generación (CJNG) o incluso con redes de ransomware como LockBit o REvil, quienes han usado XSS para reclutar operadores o vender accesos previamente.
El CJNG ha sido señalado en múltiples investigaciones por desarrollar capacidades digitales para extorsionar, espiar y lavar dinero. Un acceso a sistemas de energía, transporte o comunicaciones podría ser una herramienta valiosa en su expansión y control territorial, sobre todo en un país donde la frontera entre lo digital y lo criminal es cada vez más delgada.
Recientemente, el diario Milenio reportó —citando fuentes militares— que autoridades mexicanas investigan una red de hackers vinculados al CJNG, cuyo objetivo sería infiltrarse no solo en sistemas financieros, sino también en plataformas de seguridad de instituciones como la Secretaría de Seguridad y Protección Ciudadana, el Centro Nacional de Inteligencia, las Fuerzas Armadas y organismos estratégicos como Petróleos Mexicanos (Pemex).
¿Las infraestructuras críticas de México se encuentran en riesgo?
Publimetro México entrevistó a Víctor Ruiz respecto a la posibilidad de que el narcotráfico pueda estar relacionado con la reciente actividad de bmox.
Ignacio Gómez Villaseñor (Publimetro): ¿Crees que hay elementos suficientes para considerar que es real lo que vende bmox?
— Víctor Ruiz: No hay 100% certeza de que sea real, pero sí tiene muy altas probabilidades, porque bmox publicó esta oferta en un canal dentro de XSS que se llama “ACCESOS: redes, rdp, shells, ftp, sql-inj, DB’s” que es uno de los canales en donde mayor actividad hay sobre compra y venta de accesos. Entonces considero que la oferta tiene altas posibilidades de ser real ya que no creo que bmox se atreviera a estafar a los cibercriminales de XSS (especialmente a los rusos) y menos por la cantidad que está pidiendo. Además que esto afectaría su reputación como broker de accesos con posibilidades de ser bloqueado o expulsado de XSS.
Considerando el riesgo de su publicación, ¿es posible que enfrentemos próximamente un ataque a infraestructuras críticas de México?
— Víctor Ruiz: No quiero sonar fatalista, pero considero que estamos muy cerca de enfrentar un ciberataque delicado contra la infraestructura crítica de México, y preocupantemente, no se están tomando en cuenta las señales de advertencia. En caso de que esta amenaza no se concrete de inmediato, aún estamos a tiempo de que el gobierno actúe y refuerce sus sistemas. Este podría ser un aviso anticipado de lo que está por venir, y no atenderlo podría tener consecuencias graves para todo el país.
Creo que llevas algún tiempo hablando de posibles ataques a infraestructuras críticas y entiendo el punto de que en ocasiones puede sonar demasiado ‘hollywoodense’; sin embargo, considerando varios ataques recientes confirmados en telefonía, sistemas de agua, etc., esto es bastante viable, ¿no?
— Sí, es correcto. Más cuando hemos visto ejemplos con los recientes apagones en Chile, España y Portugal de lo que podría pasar y todo el caos que se genera. Y eso considerando que no fueron ciberataques sino fallas técnicas. Porque en caso de de ser ciberataques, se debe agregar el componente de incertidumbre, terror y desconfianza que se genera en la ciudadanía. Entiendo el tema de “Hollywood”, pero un ciberataque contra infraestructura crítica no será tan “limpio y obvio” como se presenta en las películas. Tras un ciberataque fuerte quizá ni siquiera sepamos qué fue lo que pasó.
