Una filtración masiva en un grupo de ciberdelincuencia expuso más de 8 GB de datos de PayApp.mx, una plataforma mexicana que ofrece recargas telefónicas para Telcel, Movistar, AT&T y Unefon; pagos de servicios como CFE, Telmex e Infonavit; así como la venta de pines digitales para plataformas de entretenimiento como Netflix, PlayStation, Xbox y Cinépolis.
Se trata de más de un millón de registros de recargas telefónicas, con números celulares, fechas, montos y folios, así como transferencias internas con claves de usuario de origen y destino, montos y fechas. También hay bases de datos completas de usuarios, incluyendo correos electrónicos, NIPs, contraseñas, RFC, direcciones, nombres y datos bancarios.
Los registros —revisados por Publimetro México— también muestran bitácoras de acceso web, logs de peticiones HTTP, y tokens de sesión, además de archivos con información detallada de movimientos financieros —incluyendo sus respectivos bancos— y cuentas de usuario.
Esta filtración fue difundida por el actor conocido como Nick Diesel, un traficante de datos que en el pasado ha compartido otras bases comprometidas en foros clandestinos. En esta ocasión, el volumen, detalle y sensibilidad de la información exponen a miles de usuarios a posibles fraudes.
¿Quién es Nick Diesel y por qué es tan peligroso?
Nick Diesel es un conocido traficante de datos que opera en foros clandestinos de cibercrimen, especialmente aquellos en ruso. Ha sido vinculado a múltiples filtraciones masivas en México, incluyendo bases de datos de instituciones financieras, gubernamentales y empresas privadas. Entre sus acciones más destacadas se encuentran:
- La filtración de 700 mil datos de nóminas de la plataforma mexicana FastNom, exponiendo información de usuarios, proveedores y empleados, incluyendo datos bancarios.
- La exposición de datos bancarios de 80 mil mexicanos tras un ciberataque a la boletera DeBoleto.mx, comprometiendo información personal y financiera de los usuarios.
- La venta de una base de datos con información sensible de 1.2 millones de pensionados mexicanos, incluyendo nombres, correos electrónicos, teléfonos, CURP, RFC y números de seguro social.
PayApp, una estructura completa expuesta
Entre los hallazgos más alarmantes están las credenciales de acceso (usuarios, contraseñas y tokens) de quienes operaban en la plataforma, además de los movimientos en tiempo real de recargas, logs del servidor, y rutas completas de acceso a través de la web y WhatsApp.
El sistema parece haber operado a través de una API automatizada que ejecutaba recargas y generaba tokens de acceso sin protocolos robustos de seguridad.
En total, se identificaron archivos con más de un millón de registros individuales de recargas. Cada fila contiene información como el teléfono que hizo la recarga, el beneficiario, el monto, proveedor, fecha de venta, tiempo en cola del sistema, folio, errores y observaciones internas.
Riesgos: phishing, suplantación e ingeniería social
Para Víctor Ruiz, especialista en ciberseguridad y fundador de Silikn, los riesgos son evidentes:
“Este caso está muy raro y efectivamente hay información muy delicada que se les filtró a los de PayApp. Con esos datos se puede hacer phishing contra los usuarios sin mucho esfuerzo y con un impacto totalmente negativo.”
— Víctor Ruiz
Señala que los delincuentes podrían usar esta base para contactar a usuarios y fingir reactivaciones de cuentas, solicitar pagos simbólicos o incluso hacer transferencias no autorizadas desde sus cuentas.
“Imagina que un delincuente contacta a cada uno de los usuarios y les dice que se reactivara la plataforma... muy probablemente alguno caiga.”
— Víctor Ruiz
