Una publicación en un foro clandestino encendió las alarmas de la comunidad de ciberseguridad en México: un actor bajo el alias Ipzi puso a la venta una base de datos con los nombres completos, grados y ubicaciones de más 28,000 elementos de la Policía Auxiliar de la Ciudad de México, es decir, de todos los que se encuentran asignados a este organismo.
La información es de alto peligro, ya que entre los registros expuestos hay datos de cientos de policías asignados a instalaciones estratégicas como el Aeropuerto Internacional de la Ciudad de México (AICM), lo que representa un riesgo operativo de primer nivel.
Aunque en un inicio se pensó que podría tratarse de información hackeada, un análisis del especialista en ciberseguridad y fundador de Nico Tech Tips, Nicolás Azuara, reveló que todos los datos a la venta provienen de un sistema público no protegido de la propia Secretaría de Seguridad Ciudadana (SSC), accesible mediante una simple dirección IP sin captcha, sin login, sin autenticación. Es decir, la puerta está abierta y nadie la ha cerrado.
“Sector por sector”: así funciona la filtración
El atacante publicó una muestra del archivo original. Sin embargo, en declaraciones para Publimetro México, Azuara dijo que —tras analizar los datos— se comprobó un total de 28,625 registros comprometidos. La información incluye nombre completo del policía, número de placa, género, jerarquía, destacamento, sector y lugar de asignación.
Todo esto se encuentra organizado por cliente: 832 instituciones, empresas y dependencias que tienen contratado personal de la Policía Auxiliar, según el sistema.
Uno de los casos más alarmantes es el del AICM, que aparece dividido en al menos cuatro entradas distintas con un total de 551 policías asignados. Al hacer clic en ese cliente dentro del sistema público, se despliegan los datos uno por uno: oficiales, policías terceros, primeros, jefes de sector, todos enlistados con detalle.
Entre otras instituciones de alto riesgo expuestas están el Instituto Nacional Electoral (INE), la Secretaría de Movilidad de la CDMX, y varias alcaldías como Coyoacán, donde también se evidencian los nombres de los elementos desplegados.
El contenido fue revisado de forma cruzada por el autor de esta publicación, Ignacio Gómez Villaseñor, y confirmado con la estructura filtrada que se está comercializando. Los datos coinciden plenamente.
El crimen organizado podría explotarlo todo
La gravedad del caso no solo radica en la cantidad de registros o en que esté en venta, sino en el tipo de uso que se le puede dar. Según Víctor Ruiz, instructor certificado en ciberseguridad y fundador de SILIKN, la exposición de estos datos tiene implicaciones extremadamente serias para la seguridad pública y para los propios elementos:
“Este además es uno de esos casos de alto riesgo, porque si el crimen organizado cuenta con estos datos es fácil para ellos ubicar a los policías y sus familias para amenazarlos, atacarlos, extorsionarlos o usurpar su identidad y cometer otros actos ilegales haciéndose pasar por una autoridad. Es muy, muy grave”
Los criminales no solo podrían saber cuántos policías hay en una instalación, sino también conocer sus nombres y, con un par de búsquedas cruzadas en filtraciones anteriores, obtener sus números de teléfono, direcciones personales o los nombres de sus hijos. El escenario de una extorsión para permitir una actividad ilícita en el AICM o en una institución crítica ya no parece remoto, sino altamente plausible.
Advertencias ignoradas y omisiones graves
Esta filtración no llegó sin señales previas. Desde el 27 de junio, se detectó actividad en bots donde actores maliciosos intentaban ingresar a sistemas de la Policía Auxiliar con credenciales filtradas. En su momento, se advirtió que actores estaban probando accesos al dominio `sectores.pa.cdmx.gob.mx`, sin que se conociera alguna reacción institucional. Lo más grave: ese dominio sigue siendo el núcleo del sistema donde aún se encuentra visible gran parte de la información.
Hasta el momento se desconoce si la base ya ha sido adquirida por algún actor delictivo o si otros hackers están replicando los datos por su cuenta. Lo que sí se sabe es que esta información ya no está bajo el control de la Secretaría de Seguridad Ciudadana, y que cada minuto que pasa, su valor crece para quienes buscan vulnerar al Estado desde dentro.
