Una base de datos con más de 500 mil combinaciones de correos electrónicos y contraseñas fue publicada de forma gratuita en Telegram, y lo más alarmante es que solo representa una pequeña parte de algo mucho más grande. Un bot automatizado dentro de la misma plataforma asegura tener acceso a más de 17.5 millones de credenciales asociadas con servicios y plataformas mexicanas.
El riesgo va más allá del acceso a cuentas personales: muchas de estas credenciales permiten entrar directamente a portales oficiales de gobierno, desde donde es posible descargar recibos de nómina, archivos XML e incluso ZIPs con información fiscal y personal. Esto no solo compromete a usuarios comunes, sino también a funcionarios públicos, exponiéndolos a fraudes, robo de identidad y otros delitos digitales. Lo más preocupante no es solo la magnitud de la filtración, sino lo vulnerable que seguimos siendo ante errores simples de seguridad.
La filtración incluye claves activas a portales oficiales del gobierno con dominio .gob.mx. (Fuente: Publimetro)
La filtración: Medio millón de accesos, sin proteger
El archivo filtrado llevaba por nombre "[MX]-URL_LOGIN_PASS.txt" y contenía exactamente 503,258 líneas. Cada línea incluía una dirección web, un usuario y su contraseña, todo en texto plano, sin ninguna protección. Entre los dominios aparecían desde sitios de empresas privadas hasta portales del SAT, universidades, bancos e incluso sistemas de gobierno con terminaciones .gob.mx.
Lo preocupante es que muchas de estas credenciales estaban totalmente expuestas, sin ningún tipo de cifrado. En muchos casos, la gente usaba su correo personal de Gmail o Outlook junto con contraseñas extremadamente simples. En otros, las combinaciones incluían RFCs, matrículas escolares o claves de servidor público, lo que las vuelve aún más delicadas.
Lo más increíble de todo es que este archivo no se vendió. Se regaló. Fue publicado en un canal de Telegram con casi 16 mil seguidores, como si fuera una muestra gratis. Ahí también circulaban bases similares de otros países como Argentina, Polonia o Filipinas. La de México fue la segunda más pesada, con un tamaño de casi 49 MB.
¿La razón? Una estrategia para atraer más usuarios a un bot llamado MoonSearcher, una herramienta de pago que permite buscar credenciales filtradas por país, dominio, correo o tipo de información. En resumen: regalaron medio millón de accesos solo para hacerle publicidad a un servicio que comercia con datos robados.
Podría interesarte leer: Hackers Venden Acceso a Sitio .gob.mx por 300 Dólares
MoonSearcher: el Google de los datos robados
MoonSearcher es un bot que funciona todo el día, todos los días, en Telegram. Se vende como una “herramienta innovadora” para buscar en bases de datos filtradas, aunque en realidad es un buscador de accesos robados. El término que usan es ULP (URL, Login, Password), un concepto muy común en los círculos de cibercrimen.
Este bot te deja buscar por tipo de dato —por ejemplo, solo correos con contraseñas, o accesos a plataformas con terminaciones como .edu.mx o .gob.mx. Si quieres hacer búsquedas más específicas, te cobra desde 70 dólares por consulta. Según lo que ellos mismos promocionan, tienen más de 17.5 millones de accesos mexicanos guardados en su base.
Lo que lo hace especialmente peligroso es que responde en segundos, filtra resultados sin duplicados y hasta te permite buscar por país o idioma. Básicamente, le pone en bandeja de plata a cualquiera la posibilidad de elegir un blanco y conseguir sus credenciales activas.
Plataformas oficiales en riesgo: Nóminas y datos fiscales al descubierto
Una de las partes más preocupantes de esta filtración es que algunas credenciales filtradas funcionan y permiten entrar directo a portales del gobierno. Uno de ellos es el sitio de Capital Humano de la Ciudad de México, donde los trabajadores pueden descargar sus recibos de nómina, archivos XML, ZIPs con información fiscal y hasta constancias para declaraciones patrimoniales.
¿Y qué tipo de datos se exponen ahí? Pues de todo: RFC, CURP, nombre completo, puesto, unidad administrativa, sueldo base, prestaciones, descuentos, tipo de contrato y número de empleado. En algunos casos incluso hay accesos a funciones administrativas, como generar credenciales o actualizar información.
Este portal opera bajo el dominio i4ch-capitalhumano.cdmx.gob.mx, el cual también aparece listado dentro del archivo filtrado. Eso confirma que los accesos son reales, y muchos de ellos seguían activos hasta el último chequeo, el 19 de mayo de 2025. Y si nadie ha cambiado esas contraseñas desde entonces, muchas de ellas siguen funcionando, lo que abre la puerta a accesos no autorizados y robo de información sensible.
Varias contraseñas filtradas permiten acceso directo al portal de Capital Humano de la CDMX, con descargas de archivos XML y ZIP.
Podría interesarte leer: Hackers Rusos Venden Pasaportes y Selfies de Mexicanos en Telegram
Un riesgo que va mucho más allá: universidades, gobierno y hasta bancos
La filtración no se limita solo a unos cuantos portales: también incluye accesos a universidades como la UNAM, el IPN, la UABC y la UAEH, además de instituciones federales como el SAT, la SEP, la CFE, Condusef e Infonavit. Solo los accesos a sitios con dominio .gob.mx suman más de 245 mil, casi la mitad de toda la base expuesta.
Pero eso no es todo. En el paquete también aparecen credenciales para bancos mexicanos como Banorte, HSBC y Banco del Bienestar, así como plataformas de apuestas, empresas de envíos como Estafeta, y servicios de streaming, telefonía y tiendas en línea. En resumen: si tienes una cuenta en alguno de esos lugares, podrías estar en la lista.
Esta filtración no es solo una noticia más: es una llamada de atención para todos. No importa si eres funcionario, estudiante, empleado o simplemente alguien que usa su correo y la misma contraseña “de siempre” en todas partes.
Si crees que tus datos pueden estar comprometidos (o simplemente quieres estar del lado seguro) lo primero que debes hacer es cambiar tus contraseñas, especialmente si usas las mismas en diferentes servicios. Evita claves obvias como fechas de nacimiento o combinaciones simples como "123456".
Además, activa la autenticación en dos pasos (MFA) en todas las plataformas que lo permitan. Este paso extra puede marcar la diferencia entre una cuenta segura y una vulnerada. Aunque parezca molesto, te protege incluso si alguien consigue tu contraseña.
