En Telegram está circulando un bot que asegura tener más de 18 millones de contraseñas de mexicanos listas para venderse. Lo más preocupante es que ya lo usan más de 14 mil personas cada mes, y ofrece acceso a todo tipo de cuentas: correos electrónicos, redes sociales, bancos e incluso plataformas del gobierno como el SAT, ISSSTE, CFE y becas Benito Juárez.
Funciona como un menú “a la carta”, donde puedes buscar por dominio específico (por ejemplo, si te interesa ver correos que terminen en cierto sitio web, el bot te lo muestra sin problema).
Y no, no es un rumor. De hecho, Publimetro México probó una muestra gratuita y comprobó que varias de esas contraseñas sí funcionan. Eso significa que cualquiera que compre el acceso podría entrar a cuentas activas y ver información privada, sin que el dueño se entere.
El negocio de las contraseñas robadas: Así opera el bot
Este bot en Telegram funciona de forma automática y sorprendentemente fácil. Solo tienes que escribir el país (por ejemplo, “mx” para México) o el dominio que te interesa (como el de un banco, una universidad o una empresa), y en cuestión de segundos te dice cuántas contraseñas tiene disponibles. Muestra detalles como la URL, el correo y hasta la clave.
Si alguien quiere comprar el acceso completo, solo tiene que pagar unos 70 dólares y recibe un paquete de credenciales listas para usar.
Pero esto no es solo un bot suelto. Forma parte de toda una red criminal. Todo empieza con bases de datos robadas que se comparten gratis para atraer a curiosos o posibles compradores. Después, los ciberdelincuentes usan este tipo de bots para ofrecer accesos más específicos y funcionales. Incluso llegan a dar “soporte técnico” para enseñarle al comprador cómo entrar a las cuentas o usarlas para fraudes, si no sabe cómo hacerlo.
¿De dónde salen estas contraseñas? Bienvenidos al mundo de los infostealers
Estas contraseñas no aparecen por arte de magia. Son robadas con un software malicioso llamado infostealer. Se trata de un tipo de malware que se mete en tu computadora o celular y empieza a recolectar todo lo que encuentra: contraseñas guardadas en el navegador, cookies de sesión, archivos con datos personales y hasta accesos a tus plataformas más usadas.
Y lo peor es que el infostealer no necesita hacer mucho ruido. A veces basta con hacer clic en un enlace sospechoso, descargar un archivo adjunto o instalar un programa pirata para que empiece a actuar. Mientras tú sigues usando tu dispositivo con normalidad, el malware ya está enviando tu información a servidores controlados por grupos criminales.
Luego, esos datos se organizan, se empaquetan y se venden a través de canales como este bot en Telegram. Así, tu cuenta de banco, tu correo del trabajo o tus redes sociales pueden terminar en manos de alguien más… sin que tú te enteres.
Podría interesarte leer: Los 10 Mejores Grupos y Canales de Chat de Telegram en la Dark Web
Servicios del gobierno sin doble verificación: El gran punto débil
Algo que hace aún más grave esta filtración es que miles de las contraseñas robadas pertenecen a plataformas del gobierno mexicano, como el SAT, el ISSSTE, la CFE y las becas Benito Juárez. ¿Lo peor? Muchas de estas páginas no tienen activada la verificación en dos pasos (2FA).
Esto significa que, si alguien consigue tu correo y contraseña, puede entrar directo a tu cuenta sin que tú te des cuenta. Así de fácil pueden consultar tu información fiscal, médica, tu historial laboral o hasta descargar documentos oficiales como si fueras tú.
¿Cómo protegerte de estos bots y filtraciones?
Aunque el panorama suena alarmante, hay varias cosas que puedes hacer para mantener tus cuentas más seguras:
-
Cambia tus contraseñas con regularidad y trata de usar una diferente para cada sitio o servicio. Sí, puede ser molesto, pero es una de las barreras más efectivas.
-
Activa la verificación en dos pasos (2FA) siempre que sea posible. Es esa opción que pide un código extra cuando inicias sesión desde un nuevo dispositivo. Aunque alguien tenga tu contraseña, no podrá entrar sin ese segundo código.
-
No descargues archivos de fuentes raras ni abras enlaces sospechosos que te lleguen por redes sociales, correo o WhatsApp. Muchos de esos archivos traen escondidos programas maliciosos que roban tus datos sin que lo notes.
Un poco de precaución hace toda la diferencia. Nadie está 100% a salvo, pero con buenos hábitos puedes reducir muchísimo las posibilidades de caer en este tipo de trampas digitales.