Un hackeo masivo a la Fiscalía General del Estado de San Luis Potosí (FGESLP) destapó una vulnerabilidad que podría comprometer la seguridad de millones de ciudadanos en todo el país. El atacante, conocido como Kazu, asegura haber robado más de 73 mil constancias de antecedentes penales y ahora las ofrece en venta por 600 dólares en foros clandestinos.
Pero el verdadero escándalo no es solo la filtración, sino la falla estructural que permitió este robo: cambiar un simple número en la URL del sistema digital de la Fiscalía bastaba para descargar documentos de cualquier persona, sin importar si el usuario tenía permisos o no. La alerta es grave: este fallo podría repetirse en otros portales de gobierno.
El ataque: documentos con datos personales al mejor postor
Kazu difundió una base de datos de 36.4 GB con 73,156 archivos PDF, cada uno con información personal como nombre completo, CURP, fotografía, firma y sello digital. Para demostrar la veracidad, filtró 50 constancias completas.
El hacker también lanzó una oferta de extorsión: 6 mil dólares para evitar la difusión total. Un patrón que ya se había visto en ataques anteriores, como el que realizó contra la Secretaría de Educación de Zacatecas, donde comprometió datos de miles de menores de edad.
Una falla grave y replicable
De acuerdo con el analista en ciberseguridad Nicolás Azuara, la debilidad radica en el diseño del sitio web de trámites: una vez dentro con una cuenta legítima, solo es necesario modificar el ID numérico en la URL para acceder a constancias ajenas. “Esto permite navegar entre documentos privados como si fueran páginas de una revista. No hay validación de permisos adicionales”, alertó Azuara.
Este mecanismo fue comprobado de manera independiente por el medio Publimetro, lo que confirma que cualquiera con acceso mínimo puede descargar miles de documentos personales.
El acceso inicial a la plataforma se logró usando credenciales filtradas, posiblemente obtenidas mediante malware infostealer o bases de datos vendidas en Telegram. Una vez adentro, la puerta quedó abierta de par en par.
El hacker ha ganado notoriedad en México por sus ataques al Hospital Civil de Guadalajara, el DIF Jalisco, la Secretaría de Educación de Zacatecas y ahora la FGESLP. Su método es siempre el mismo: infiltración, extracción masiva y extorsión.
Las constancias filtradas incluyen información clave para suplantación de identidad, fraudes financieros y extorsiones:
Nombre completo
Fotografía
CURP
Fecha y lugar de nacimiento
Sello digital y firma oficial
Folio único y fecha de emisión
Un documento de este tipo puede utilizarse para crear identidades falsas, obtener créditos fraudulentos o afectar la reputación y empleo de ciudadanos inocentes.
📎 Crédito original de la información: Ignacio Gómez Villaseñor para Publimetro México