Publimetro México detectó en Telegram un bot que presume tener más de 18 millones de contraseñas de mexicanos listas para ser vendidas al mejor postor. Este bot, utilizado por más de 14 mil personas al mes, ofrece accesos a cuentas de correo, redes sociales, servicios bancarios y portales de gobierno como SAT, ISSSTE, CFE y becas Benito Juárez, bajo un esquema “a la carta” que permite elegir el dominio específico de interés.
No se trata de rumores. Publimetro México comprobó, de una muestra gratuita, que muchas de estas contraseñas son funcionales, permitiendo a compradores ingresar a cuentas activas y acceder a información sensible sin notificación al usuario.
El negocio de las contraseñas robadas: así funciona el bot
Este bot opera de forma automatizada: el interesado escribe el país (en este caso, “mx”) o el dominio que desea y el bot responde en segundos cuántas credenciales tiene disponibles, con detalles de URL, correo y clave. Si el usuario decide comprar, puede pagar alrededor de 70 dólares para obtener el paquete de accesos.
Este tipo de bots forman parte de una estructura criminal que comienza con la filtración gratuita de bases de datos con miles de contraseñas como anzuelo. Después, ciberdelincuentes usan el bot para adquirir accesos personalizados y funcionales. Los ciberdelincuentes ofrecen incluso “soporte técnico” para quienes no saben utilizar las credenciales en sesiones activas o en fraudes específicos.
De dónde salen estas contraseñas: infostealers y la amenaza invisible
El bot no genera las credenciales de la nada. Son robadas mediante infostealers, un tipo de malware que se infiltra en computadoras y celulares para extraer contraseñas almacenadas en navegadores, cookies de sesión, archivos con información personal y claves de acceso a plataformas.
El riesgo comienza con un clic en un enlace malicioso, la descarga de un documento o de programas pirata. Sin que el usuario lo note, el infostealer extrae la información en segundos y la envía a servidores operados por grupos criminales, quienes luego empaquetan estos datos para venderlos de forma masiva en Telegram.
Servicios de gobierno sin 2FA, el punto débil
Publimetro México constató que miles de estas contraseñas pertenecen a servicios del gobierno mexicano, incluyendo SAT, ISSSTE, CFE y becas Benito Juárez. La gravedad se incrementa porque muchas de estas plataformas no cuentan con autenticación de dos factores (2FA). Esto significa que, si alguien tiene tu correo y contraseña, puede ingresar de inmediato, consultar información fiscal, médica, historial laboral y hasta descargar documentos oficiales en tu nombre.
Especialista: “La amenaza es real y no se está atendiendo”
Víctor Ruiz, especialista en ciberseguridad y fundador de SILIKN, explicó en exclusiva para Publimetro México que esta problemática requiere atención urgente:
“La existencia de bots en Telegram que comercializan credenciales robadas mediante infostealers representa una amenaza real que, lamentablemente, no está recibiendo la atención necesaria. Por un lado, aunque Telegram ha colaborado en investigaciones con autoridades internacionales, su fuerte enfoque en la privacidad y la libertad de expresión dificulta la intervención directa en este tipo de actividades. Por otro lado, las autoridades —particularmente en México— carecen de la preparación, capacitación, recursos, herramientas e incluso del interés para abordar eficazmente estos incidentes. A esto se suma la ausencia de una ley de ciberseguridad que permita sancionar con contundencia estas conductas ilícitas”.
— Víctor Ruiz, instructor certificado de ciberseguridad y fundador de SILIKN
Ruiz enfatizó que, en este contexto, la responsabilidad de protegerse recae en el usuario, quien debe aplicar medidas como usar contraseñas únicas y robustas, cambiarlas cada 3 a 6 meses, activar 2FA en todas las plataformas posibles, evitar enlaces sospechosos y mantener actualizado el antivirus.
“En ausencia de medidas institucionales sólidas, la acción informada del usuario se convierte en la primera y más efectiva línea de defensa”
— Víctor Ruiz, instructor certificado de ciberseguridad y fundador de SILIKN
Cómo prevenir ser víctima de estos bots
- Si bien la magnitud de la filtración es preocupante, existen pasos sencillos para protegerse:
- Cambiar contraseñas de forma periódica y utilizar claves distintas para cada servicio es una primera barrera de protección.
- Activar la autenticación de dos factores en todas las plataformas donde sea posible limita la capacidad de un atacante para ingresar con solo una contraseña filtrada.
- Además, evitar descargar archivos de fuentes no confiables y no abrir enlaces sospechosos en redes sociales o mensajes son medidas básicas para prevenir infecciones con infostealers.
