Un hacker que opera bajo el alias “Sosyopat” lanzó una amenaza directa: exige el pago de 50 mil dólares a una start-up mexicana para no filtrar lo que asegura son dos bases de datos: una que afectaría a más de 100 millones de personas y otra con datos de 80 millones.
En una conversación exclusiva con Publimetro México, el actor malicioso aseguró que si no recibe el pago en tres días, divulgará los datos en foros clandestinos de cibercrimen como XSS y Cracked.
“Filtraremos estos datos en todos los foros como XSS, Cracked, en caso de que no se cumplan las condiciones necesarias”, escribió Sosyopat desde su cuenta de Telegram.
En el mismo mensaje, confirmó: “Esto incluye la base de datos (de la start-up)”. Además, señaló que las bases en su poder contienen datos críticos: “Una base de datos completa de 180 millones de ciudadanos en forma de datos mixtos totales (sumando las dos bases que afirma tener)”.
“Nuestro objetivo no es atacar al gobierno mexicano, no tenemos ningún problema con los valores y juicios de su gobierno, queremos que sus empresas corrijan sus errores y paguen por esta irresponsabilidad”
— Sosyopat
¿Qué información sería expuesta en los próximos tres días?
Durante la conversación con Publimetro, Sosyopat proporcionó capturas y extractos de varias bases de datos, incluyendo registros en texto plano y una interfaz que permite buscar ciudadanos por nombre, edad, calle y ocupación. “Les dejo que imaginen lo que podría ocurrir si este sistema cae en manos equivocadas”, afirmó.
El hacker también aclaró que no ha buscado al gobierno mexicano directamente, sino que se comunicó con la start-tup. “No nos contestaron, y esto es solo la punta del iceberg”, dijo. En sus palabras, el objetivo no es atacar al Estado, sino forzar a las empresas mexicanas a asumir responsabilidades: “Queremos que sus empresas corrijan sus errores y paguen por esta irresponsabilidad”.
XSS: el oscuro foro de hackers donde comenzó todo
Sosyopat ha tenido actividad previa en el foro ruso de acceso restringido XSS, especializado en cibercrimen, venta de accesos comprometidos, exploits y bases de datos filtradas. Fue ahí donde se detectó una publicación suya anunciando la venta de documentos mexicanos por 500 dólares, incluyendo licencias de conducir, identificaciones del INE, fotos de vehículos y acceso al panel de administración de la empresa emergente mexicana.
Esa publicación, descubierta por el analista Miguel Becerra (TIAL), fue el primer indicio de un ataque más amplio. Posteriormente, Publimetro siguió el rastro hasta Telegram, donde un bot asociado a Sosyopat comercializaba documentos individuales por 3.30 dólares y paquetes completos por 7 dólares. La base ofertada contenía datos de más de 3,900 mexicanos.
Partrunner y los datos expuestos
La exigencia de rescate por parte del hacker está enfocada particularmente a una plataforma de logística y envíos que, según Sosyopat, dejó expuesta una base con al menos 20 mil identificaciones, muchas de ellas licencias de conducir y documentos vehiculares. El hacker asegura haber tomado esa base directamente de sus servidores.
Ignacio Gómez Villaseñor, periodista de Publimetro, recibió desde el 28 de abril evidencias de esta intrusión. Un video mostraba carpetas llenas de identificaciones y fotografías de autos. Sosyopat exigió 50 mil dólares como rescate, advirtiendo que, de no pagarse, también filtraría información adicional supuestamente obtenida de otras dependencias mexicanas.
Experto analiza las evidencias de Sosyopat
El analista de ciberseguridad Nicolás Azuara, director de Nico Tech Tips, fue consultado por Publimetro México para examinat las pruebas presentadas por Sosyopat. Confirmó que parte de los registros coinciden con la base filtrada del INE en Ciudad de México, aunque advirtió que hay campos adicionales como “ocupación” cuya procedencia no está clara.
También señaló que la ausencia de ciertos campos, como la CURP, y errores comunes en el etiquetado de apellidos, permiten inferir que los datos son reales pero posiblemente reorganizados.
“Sé que es la base (filtrada) del INE por el error de la falta del apellido paterno”, indicó Azuara, al encontrar coincidencias con registros conocidos y expuestos en filtraciones previas.
La amenaza contra millones de mexicanos sigue en pie
Sosyopat reafirmó su postura y reiteró el plazo:
“Podemos darle tres días para depositar la cantidad requerida… y si quiere las pruebas necesarias sobre las bases de datos, estamos dispuestos a remitirlas”
— Sosyopat
Advirtió que no se trata de una extorsión sin fines ideológicos: “Debe haber un precio por esta falta de respeto a la privacidad de los datos de las personas”.
