La aerolínea mexicana Aeroméxico habría sido víctima de un ciberataque masivo de ransomware que comprometería la información personal de más de 30 millones de clientes, según una alerta emitida por el especialista en ciberseguridad Ignacio Gómez Villaseñor.
El ataque habría sido perpetrado por el grupo ShinyHunters, una de las organizaciones de ciberdelincuentes más peligrosas y activas del mundo, conocida por sus filtraciones de alto perfil.
El grupo ya incluyó a la aerolínea mexicana en su lista de víctimas dentro de la dark web, y lanzó una amenaza pública:
“El 10 de octubre filtraremos 172.9 GB de datos con nombres, correos, teléfonos, direcciones, pasaportes y más.”
Esta situación no solo pone en riesgo la privacidad de millones de pasajeros, sino que también abre la puerta a fraudes, suplantaciones de identidad y robos financieros a gran escala.
¿Qué se sabe hasta ahora?
La información fue revelada a través de publicaciones en la plataforma X (antes Twitter), donde Villaseñor, también periodista, explicó que existen evidencias de que los atacantes poseen datos reales de clientes de Aeroméxico.
Según la investigación, los archivos filtrados contienen nombres completos, direcciones, correos electrónicos, teléfonos, números de pasaporte y datos de reservaciones.
En una publicación de la dark web, ShinyHunters aseguró que los registros exponen información de al menos 30 millones de personas, lo que convertiría este incidente en uno de los mayores ciberataques en la historia de una empresa mexicana.
¿Quién está detrás del ataque?
El grupo responsable sería ShinyHunters, un colectivo de ciberdelincuentes con base internacional conocido por vender bases de datos robadas y extorsionar a grandes empresas.
Entre sus ataques más notorios se encuentran los sufridos por Ticketmaster, Microsoft, AT&T, Disney/Hulu, FedEx, Google AdSense, Cisco, Adidas, Cartier, HBO Max y McDonald’s.
En esta ocasión, ShinyHunters no actuaría solo. Todo indica que opera en alianza con el grupo Scattered Spider, otro colectivo especializado en ingeniería social y acceso remoto a sistemas empresariales.
Juntos forman parte de una nueva ola de “cárteles cibernéticos”, grupos que combinan ransomware, robo de datos y campañas de extorsión a nivel global.
Lee más: Troyanos Bancarios: Creciente Amenaza en Latinoamérica
Qué tipo de información se habría filtrado
El ataque parece estar centrado en bases de datos de clientes y reservas, las cuales incluyen:
- Nombres completos y correos electrónicos.
- Teléfonos y direcciones.
- Números de pasaporte e información de identificación oficial.
- Datos de itinerarios y reservaciones.
Aunque hasta el momento no se han encontrado números de tarjetas de crédito o CVV visibles, sí hay indicios de que la información podría usarse para fraudes indirectos o campañas de phishing personalizadas.
Los atacantes habrían tenido acceso a canales de pago y sistemas de reserva, lo que podría permitirles rastrear compras o transacciones realizadas por los pasajeros.
Posible origen del ataque: vulnerabilidad en Salesforce
El especialista Villaseñor apunta que la vulneración no se habría originado directamente en los servidores de Aeroméxico, sino en una brecha dentro de la plataforma Salesforce, el sistema de CRM (gestión de relaciones con clientes) que la aerolínea utiliza para administrar sus datos.
Según su análisis, los registros expuestos tienen el formato nativo de Salesforce, incluyendo campos de cuentas, contactos y reservas. Esto sugiere que el ataque afectó a varios clientes de la plataforma, no solo a Aeroméxico.
“Solo en los archivos filtrados hay información de más de 2,000 personas, incluyendo 378 pasaportes. Estos datos son reales y extremadamente sensibles”, explicó Villaseñor.
Salesforce, una empresa de software en la nube, centraliza información de ventas y marketing, lo que la convierte en un objetivo atractivo para los ciberdelincuentes, ya que un solo punto de vulnerabilidad puede exponer datos de múltiples empresas a la vez.
El auge de los ataques por ransomware
El presunto hackeo a Aeroméxico se produce en un contexto donde los ataques de ransomware están aumentando nuevamente a nivel global.
Un estudio reciente de Hornetsecurity, basado en encuestas a más de 380 profesionales de TI, revela que el 24% de las empresas ha sido víctima de ransomware en 2025, frente al 18.6% en 2024.
Después de años de una ligera disminución, la tendencia ha cambiado. Los grupos de cibercriminales han adoptado nuevas tácticas basadas en inteligencia artificial, phishing avanzado y explotación de vulnerabilidades en la nube, haciendo que incluso las empresas más grandes y protegidas sean vulnerables.
En este caso, Aeroméxico representa un ejemplo claro de cómo una brecha en una plataforma de terceros puede exponer millones de datos sin un ataque directo a los sistemas internos.
Qué es el ransomware y cómo funciona
El ransomware es un tipo de malware que secuestra la información de una empresa o usuario. Los atacantes cifran los datos y exigen un pago —generalmente en criptomonedas— para devolver el acceso o evitar la publicación de la información robada.
Microsoft explica que los grupos criminales suelen investigar a fondo sus objetivos antes de lanzar el ataque. Analizan vulnerabilidades, obtienen documentos financieros y determinan el monto del rescate según la capacidad económica de la víctima.
En muchos casos, ni siquiera cumplir con el pago garantiza la recuperación de los datos, ya que los grupos suelen conservar copias de la información o revenderla en foros clandestinos.
Qué puede pasar con los datos filtrados
Si se confirma la autenticidad de la filtración, los usuarios podrían enfrentar riesgos como:
- Suplantación de identidad, mediante el uso de pasaportes, nombres y correos reales.
- Fraude financiero, a través de la creación de cuentas falsas o compras en línea.
- Phishing personalizado, con correos o mensajes que simulen comunicaciones oficiales de Aeroméxico.
- Venta de datos en la dark web, donde la información personal puede intercambiarse por criptomonedas.
Villaseñor advirtió que el volumen de datos expuestos es “suficiente para construir perfiles completos de los clientes”, lo que facilita a los atacantes dirigir campañas extremadamente creíbles.
Títulos similares: Ataques Cibernéticos Frecuentes en América Latina
Qué puedes hacer para protegerte
Desde TecnetOne, te recomendamos tomar medidas inmediatas si eres cliente de Aeroméxico o de cualquier empresa que haya sufrido una filtración de datos:
- Cambia tus contraseñas y activa la verificación en dos pasos (2FA) en todas tus cuentas asociadas al correo usado en Aeroméxico.
- Desconfía de correos o llamadas que te pidan confirmar reservas, pagos o información personal.
- Supervisa los movimientos bancarios y activa alertas de seguridad en tus tarjetas.
- Evita descargar documentos o enlaces sospechosos relacionados con Aeroméxico o sus servicios.
- Considera usar servicios de monitoreo de identidad para detectar si tus datos aparecen en filtraciones o foros de la dark web.
Un llamado a reforzar la ciberseguridad
Este incidente demuestra que ninguna organización está exenta de un ataque, incluso aquellas con infraestructuras críticas o grandes inversiones tecnológicas.
En TecnetOne, creemos que la clave está en la prevención y la detección temprana, con estrategias como:
- Auditorías de seguridad periódicas.
- Copias de respaldo inmutables.
- Autenticación multifactor obligatoria.
- Monitoreo constante de actividad sospechosa en entornos cloud.
La ciberseguridad ya no puede ser vista como un gasto, sino como una inversión estratégica que protege la confianza del cliente y la reputación de la marca.
Conclusión
El caso de Aeroméxico es una alerta roja para todas las empresas que dependen de plataformas en la nube y gestionan grandes volúmenes de datos de clientes.
Si se confirma la filtración, podría tratarse de uno de los mayores incidentes de ciberseguridad en América Latina.