Tus datos personales no son solo números en una base de datos. Son parte de tu vida: tu CURP, tu nómina, tu contrato… todo eso dice mucho de ti. Y cuando esa información termina en manos equivocadas, los problemas no se quedan en internet (pueden tocar tu bolsillo, tu privacidad y hasta tu seguridad).
Eso fue exactamente lo que ocurrió con LockBit 3.0, un grupo de ransomware que acaba de liberar en la dark web 97.7 gigabytes de documentos confidenciales robados a OSSC México, una empresa que se dedica al desarrollo de software para nóminas y gestión de recursos humanos. La filtración expone información laboral, fiscal y personal de más de siete mil personas, incluyendo recibos de nómina, contratos laborales, credenciales del INE, CURP, comprobantes de domicilio, cartas de antecedentes no penales y hasta evaluaciones psicométricas. No se trata solo de un ciberataque más. Es una señal clara de lo expuestos que estamos.
Al revisar a fondo la filtración, quedó claro que la cantidad y el tipo de información expuesta es más que preocupante. Se encontraron miles de archivos, y entre ellos había:
3,658 copias de credenciales del INE
474 comprobantes de domicilio
424 CURP en formato PDF
409 recibos de nómina
407 contratos laborales
149 cartas de antecedentes no penales
197 documentos con datos bancarios
52 archivos relacionados con el SAT
26 registros con RFC
38 archivos vinculados al INFONAVIT
En total, más de 7,000 expedientes digitales individuales. Muchos están organizados por nombre o número de trabajador, lo que sugiere que cada carpeta podría pertenecer a una persona diferente.
Lo preocupante no es solo la cantidad, sino la naturaleza de lo filtrado. Esta información puede ser usada para robo de identidad, fraudes financieros, suplantación laboral o incluso extorsión. Y no solo afecta a las personas: también pone en riesgo a las empresas que usaban el sistema GIRO, desarrollado por OSSC, para administrar su nómina y personal.
OSSC México es una empresa de tecnología con sede en Zapopan, Jalisco. Se especializa en soluciones para recursos humanos y su producto estrella es GIRO, un sistema que ayuda a las empresas a manejar todo lo relacionado con sus trabajadores: desde nóminas y contratos hasta pagos y movimientos contables.
El problema es que, al ser proveedor de varias compañías en el país, la brecha de seguridad no solo afecta a OSSC, sino también a muchas otras empresas que confiaron en sus servicios. En otras palabras, los datos filtrados no serían solo de personal interno, sino también de empleados de otras organizaciones que usan GIRO para gestionar su plantilla. Así, el daño se multiplica.
Filtración de datos expone a trabajadores mexicanos a fraude y robo de identidad (Fuente: Publimetro)
Conoce más sobre: Hackers atacan México: Roban Recibos de Nómina y Contratos
LockBit no es cualquier grupo de hackers. Nació en Rusia y desde 2019 se ha hecho famoso por usar el modelo de Ransomware-as-a-Service (RaaS), que básicamente permite que otros delincuentes "renten" sus herramientas para lanzar ataques a cambio de una comisión. Como si fuera una franquicia del crimen digital.
En 2024, tanto el FBI como Europol lo señalaron como uno de los grupos más activos y peligrosos del mundo. Sus víctimas no son pequeñas: hospitales, universidades, gobiernos y grandes empresas internacionales han caído en sus redes.
En febrero de 2025, LockBit lanzó una amenaza directa a OSSC México. Aseguraron tener en su poder cerca de 100 GB de información robada y exigieron un pago para no publicarla. El plazo venció, no hubo acuerdo… y cumplieron: los archivos fueron liberados y están disponibles en su sitio alojado en la dark web.
El mensaje que dejaron fue claro y escalofriante:
“Cuando el temporizador termine la cuenta regresiva, podrás encontrar los enlaces con todos los datos sensibles descargados en esta publicación. Si no están, espera. Los archivos definitivamente estarán aquí.”
El tamaño del problema no es menor. Con la información filtrada, los ciberdelincuentes tienen todo lo necesario para hacer de las suyas: desde abrir cuentas bancarias falsas y cometer fraude fiscal, hasta solicitar créditos a nombre de otras personas o extorsionar con datos personales delicados. Incluso podrían vender identidades completas en el mercado negro.
Lo más grave es que esta no es una filtración más que solo afecta a una empresa. Aquí se expone la vida laboral completa de miles de trabajadores mexicanos: sus contratos, pagos, documentos personales... todo.
Y eso no es todo. Con esos datos, los atacantes podrían ir más allá y usarlos para meterse a otras empresas. Suplantan identidades, engañan a contactos, se hacen pasar por empleados reales... y así abren la puerta a nuevos ataques, como una cadena que se va extendiendo.
Hasta ahora, OSSC México no ha dicho nada públicamente. No ha ofrecido explicaciones ni se sabe si hay alguna investigación en marcha por parte de las autoridades o el SAT.
Para muchos especialistas, este caso podría marcar un antes y un después en cómo se debe regular el manejo de datos sensibles cuando están en manos de proveedores tecnológicos. Porque si algo dejó claro este ataque, es que no basta con confiar en que una empresa “guarda bien” tu información: hacen falta reglas claras, vigilancia real y consecuencias cuando se comete un fallo de este tamaño.