Un hacker que se hace llamar Kazu ha sacudido un foro clandestino tras poner a la venta una base de datos con información de 2.5 millones de usuarios registrados en empleo.gob.mx, el sitio oficial del Servicio Nacional de Empleo (SNE), operado por la Secretaría del Trabajo y Previsión Social.
Kazu asegura tener acceso a datos completos de personas que usan la plataforma para buscar trabajo: nombre completo, edad, CURP, nivel educativo, correos electrónicos y teléfonos. Todo eso, listo para ser vendido en un foro clandestino.
En su publicación, el hacker pide 2 mil dólares por la base de datos, pero lanza una amenaza más grave: si no recibe un pago de 20 mil dólares como rescate, filtrará toda la información de manera pública. Para demostrar que va en serio, compartió un archivo en formato JSON con datos reales y estructurados de usuarios, el cual fue verificado por Publimetro México.
Una falla crítica dejó expuestos los datos sin siquiera pedir contraseña
Lo más preocupante del caso es que no se necesitaba una contraseña ni permisos especiales para acceder a los datos de los usuarios en empleo.gob.mx. Literalmente, cualquier persona podía consultar la información con solo hacer una petición al servidor con un simple número de ID. Así fue como Kazu logró extraer los datos personales de 2.5 millones de personas, sin romper candados complejos ni usar credenciales robadas.
Esto marca una gran diferencia frente a ataques anteriores realizados por el mismo hacker, donde al menos se requerían contraseñas filtradas para acceder a bases de datos gubernamentales. En esta ocasión, el sistema ni siquiera validaba si quien hacía la consulta estaba autorizado. Era como si una puerta estuviera abierta de par en par, sin cerradura.
Entre los datos filtrados hay información altamente sensible: nombre completo, CURP, RFC, dirección, nivel académico, habilidades laborales y medios de contacto. Esto no solo vulnera la privacidad de los usuarios, sino que abre la puerta a delitos como suplantación de identidad, fraudes laborales, extorsión, doxing y más.
¿Quién es Kazu?
En las últimas semanas, han salido a la luz una serie de ataques cibernéticos dirigidos a diversas dependencias del gobierno mexicano. El responsable detrás de estas filtraciones ha estado muy activo, y su rastro ya dejó consecuencias en varias entidades.
Entre los casos más recientes, se encuentra la exposición de datos personales de la Secretaría de Educación de Zacatecas, incluyendo información delicada como CURP, tipo de sangre, calificaciones e incluso datos de menores.
También hubo una amenaza de publicar más de 73 mil documentos pertenecientes a la Fiscalía de San Luis Potosí, entre ellos constancias de antecedentes penales y otros archivos internos confidenciales.
Ahora, el nuevo blanco ha sido empleo.gob.mx, y lo que lo diferencia de los incidentes anteriores es la gravedad del fallo detectado. En ataques previos, se requerían credenciales comprometidas o errores de configuración para poder entrar. Sin embargo, esta vez ni siquiera fue necesario un acceso autorizado.
La brecha de seguridad es tan grande que la API pública del sitio permitía acceder a los registros de cualquier usuario con solo cambiar un número en la consulta. Es decir, cualquier persona podía navegar entre los datos personales como si tuviera acceso total al sistema.
Esto no solo muestra una falla técnica grave, sino también una ausencia total de controles básicos para proteger a millones de usuarios que confiaron su información en una plataforma oficial del gobierno.
Podría interesarte leer: Alerta en México: Hacker Afirma tener 45 Millones de Datos de Apps
Conclusión: Una llamada de atención que no se puede ignorar
Lo que pasó con empleo.gob.mx no es solo "otro hackeo más". Es una señal clara de lo frágil que puede ser la seguridad digital en las plataformas públicas en México. Estamos hablando de más de 2.5 millones de personas cuyas datos personales quedaron al descubierto por una vulnerabilidad que se pudo haber evitado con medidas básicas de seguridad.
Este tipo de fallos no solo exponen a la gente a riesgos reales (fraudes, extorsiones, suplantación de identidad), también comprometen un recurso igual de fundamental: la confianza en las instituciones encargadas de resguardar nuestros datos.