Infostealers provocan masiva filtración de datos en México y en el mundo y exponen información sensible de gobiernos, empresas y usuarios

mayo 23, 2025

Infostealers provocan masiva filtración de datos en México y en el mundo y exponen información sensible de gobiernos, empresas y usuarios

Imagen: Zdzisław Beksiński

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.

Un reciente análisis de la unidad de investigación de SILIKN ha revelado una preocupante ola de filtraciones de datos causadas por programas maliciosos conocidos como infostealers. Estos programas, diseñados para robar información personal y credenciales, han comprometido millones de datos sensibles en todo el mundo, afectando a empresas, gobiernos y usuarios individuales. Este análisis detalla la magnitud de esta amenaza y destaca la necesidad de medidas urgentes para proteger la información digital.

¿Qué son los infostealers?

Los infostealers son un tipo de malware que se infiltra en dispositivos para recopilar datos sensibles, como contraseñas, información bancaria, cookies de navegación y credenciales de acceso a plataformas en línea. Este tipo de software malicioso se propaga a través de correos electrónicos de phishing, sitios web comprometidos o descargas de aplicaciones no confiables. Una vez instalado, el infostealer opera silenciosamente, recopilando datos y enviándolos a servidores controlados por ciberdelincuentes.

En los últimos meses se han detectado millones de registros comprometidos en mercados de la dark web, donde los datos robados se venden a precios alarmantemente bajos. Entre la información expuesta se encuentran:

- Credenciales de acceso: Cuentas de correo electrónico, redes sociales y servicios en la nube.

- Datos financieros: Números de tarjetas de crédito y detalles de cuentas bancarias.

- Información personal: Nombres, direcciones y números de identificación.

El análisis señala que grandes organizaciones, incluidas empresas tecnológicas y dependencias gubernamentales, han sido blanco de estos ataques, lo que demuestra que ninguna entidad está completamente a salvo.

En este sentido, los ciberataques más significativos que ha enfrentado el gobierno mexicano relacionados con el robo de información personal y credenciales a través de infostealers y otras técnicas de ciberseguridad, según la información disponible, son los siguientes:

- Filtración de la Consejería Jurídica de la Presidencia (2024): En noviembre de 2024, el grupo RansomHub llevó a cabo un ciberataque contra la Consejería Jurídica de la Presidencia, robando 313 GB de datos sensibles, incluyendo información personal de funcionarios y documentos estratégicos. Este ataque, el primero bajo la administración de Claudia Sheinbaum, destacó la vulnerabilidad de los sistemas gubernamentales y sugirió la posible participación de ex-empleados que facilitaron accesos no autorizados. Parte de la información fue publicada en la dark web, aunque luego fue retirada, posiblemente tras un acuerdo con los atacantes. Los infostealers y técnicas de ingeniería social fueron clave en este incidente, comprometiendo credenciales y datos sensibles.

- Ataque a la Secretaría de la Defensa Nacional (SEDENA) — Guacamaya Leaks (2022): En septiembre de 2022, el grupo hacktivista Guacamaya extrajo aproximadamente 6 TB de información clasificada de la SEDENA, incluyendo correos electrónicos, datos de inteligencia y planes operativos. Aunque el ataque no se centró exclusivamente en infostealers, la filtración masiva expuso información personal y operativa, evidenciando debilidades en la gestión de credenciales y la seguridad de los sistemas. Este incidente, conocido como “SEDENA-papers”, tuvo implicaciones internacionales, ya que comprometió datos relacionados con operaciones contra el crimen organizado.

- Filtración de datos de periodistas en la “Mañanera” (2024): En enero de 2024, se reportó un acceso no autorizado a datos de 263 de los 309 periodistas acreditados para cubrir las conferencias matutinas del ex-presidente Andrés Manuel López Obrador. La filtración incluyó documentos personales como credenciales electorales, pasaportes y datos migratorios, obtenidos desde direcciones IP en España. Aunque no se confirmó como un ataque de infostealers, se señaló que el acceso se logró utilizando credenciales de un ex-empleado, lo que resalta la vulnerabilidad en la gestión de accesos y contraseñas. Este incidente generó críticas por la falta de protección de datos sensibles y puso en riesgo la seguridad de los periodistas.

- Filtración masiva de credenciales en portales gubernamentales — MoonSearcher y SATANIC CLOUD (2025): En mayo de 2025, se reportó la filtración de más de 500,000 contraseñas mexicanas, muchas de las cuales permitían acceso a portales gubernamentales como el SAT, ISSSTE, y plataformas de la Ciudad de México, así como a universidades y bancos. Los grupos MoonSearcher y SATANIC CLOUD publicaron alrededor de 50,000 credenciales en canales de Telegram, muchas de las cuales seguían activas y permitían acceder a expedientes completos de ciudadanos. Este incidente, alimentado por infostealers como Redline y Vidar, destacó la debilidad de las contraseñas utilizadas y la falta de requisitos robustos para la gestión de credenciales en sistemas gubernamentales.

- Ataque al Registro Civil de México (2024): En 2024, un ciberataque al Registro Civil de México resultó en la filtración de millones de documentos personales en la dark web. Este incidente, reportado como parte de una serie de ataques a instituciones gubernamentales, expuso datos sensibles de ciudadanos, como actas de nacimiento y otros registros oficiales. Aunque no se especificó el uso exclusivo de infostealers, la magnitud de la filtración sugiere vulnerabilidades en la gestión de credenciales y sistemas obsoletos, facilitando el acceso no autorizado.

- Filtración masiva de INFERNO LEAKS (2025): En abril de 2025, el grupo INFERNO LEAKS llevó a cabo una de las mayores filtraciones de datos en la historia de México, comprometiendo 701 GB de información sensible, incluyendo datos financieros, fiscales y de salud de millones de ciudadanos. Este ataque, que afectó a múltiples dependencias gubernamentales, evidenció el uso de infostealers y otras técnicas para obtener credenciales y explotar sistemas vulnerables. La magnitud de esta filtración generó críticas por la falta de medidas preventivas y la minimización del impacto por parte de las autoridades.

Los infostealers como Redline y Vidar han sido fundamentales en muchos de estos ataques, permitiendo la extracción de credenciales, cookies y datos personales de dispositivos comprometidos. Según la unidad de investigación de SILIKN, el número de credenciales robadas en la dark web creció un 271% entre 2023 y 2024, con 1,700 millones de registros en circulación en 2024.

De igual forma, estudios de la unidad de investigación de SILIKN indican que el 83.63% de las contraseñas en plataformas gubernamentales son débiles, y el 12.67% son extremadamente débiles, facilitando ataques de fuerza bruta y el uso de credenciales robadas.

Varios incidentes, como los de la Consejería Jurídica y los periodistas de la “Mañanera”, involucraron accesos no autorizados facilitados por ex-empleados o credenciales comprometidas, combinados con técnicas de ingeniería social.

La reducción del presupuesto gubernamental (1.6% en 2025, quedando en 9.3 billones de pesos) y la falta de requisitos robustos para contraseñas y autenticación multifactor han agravado la vulnerabilidad de las instituciones.

Las consecuencias de estas filtraciones son devastadoras. Para los usuarios individuales, el robo de datos puede resultar en fraudes financieros, robo de identidad y pérdida de privacidad. Las empresas, por su parte, enfrentan riesgos como pérdida de confianza de los clientes, sanciones regulatorias por incumplimiento de normativas de protección de datos, así como costos asociados a la mitigación de brechas de seguridad. Además, los infostealers están evolucionando, volviéndose más sofisticados y difíciles de detectar, lo que agrava el problema.

Para combatir esta amenaza, la unidad de investigación de SILIKN recomienda las siguientes acciones:

- Uso de contraseñas seguras y únicas: Implementar contraseñas complejas y evitar reutilizarlas en diferentes plataformas.

-Autenticación de dos factores (2FA): Activar 2FA en todas las cuentas posibles para añadir una capa adicional de seguridad.

- Actualizaciones regulares: Mantener sistemas operativos, navegadores y aplicaciones actualizados para corregir vulnerabilidades.

- Concienciación sobre phishing: Evitar hacer clic en enlaces sospechosos o descargar archivos de fuentes no verificadas.

- Software de seguridad: Instalar y mantener actualizado un programa antivirus confiable que pueda detectar y bloquear infostealers.

La proliferación de infostealers representa una amenaza significativa para la seguridad digital a nivel global. Tanto usuarios como organizaciones deben tomar medidas proactivas para proteger sus datos y minimizar los riesgos. La ciberseguridad ya no es opcional, sino una necesidad urgente en un mundo cada vez más conectado. Para más información sobre cómo protegerse, la unidad de investigación de SILIKN sugiere mantenerse informados sobre las últimas amenazas y adoptar prácticas de seguridad robustas.

Para más información, visite: https://www.silikn.com/