Un conocido traficante de información, identificado como Nairo, ha divulgado en un foro de la dark web una base de datos que compromete la privacidad de más de 1.3 millones de mexicanos que participaron en pruebas psicométricas.
Según reportes, Nairo, quien ha estado vinculado a numerosas filtraciones globales, habría accedido a esta información desde el portal Psicotest.mx, una plataforma enfocada en procesos de selección empresarial. Nicolás Azuara, experto en ciberseguridad de Nico Tech Tips, señaló que el sitio presenta fallas significativas en sus medidas de protección.
«Utilizan una clave de acceso que combina mayúsculas, minúsculas y números, pero confiar en un código de solo siete caracteres como única barrera de seguridad es insuficiente, especialmente considerando que manejan información sensible», comentó Azuara.
Para demostrar la autenticidad de los datos robados, Nairo compartió una muestra de la base en un foro de hackers. Los registros incluyen información delicada como nombres, correos electrónicos, fechas de nacimiento, teléfonos y contraseñas asociadas a los perfiles de usuario.
Este incidente se suma a otros realizados por Nairo, quien recientemente, el 4 de diciembre, puso a la venta bases de datos provenientes de aplicaciones financieras que afectaron la seguridad de 580 mil mexicanos.
Un análisis inicial de Nicolás Azuara, confirmó que las cuentas expuestas pertenecen a usuarios reales y activos. Entre los datos filtrados podrían incluirse detalles laborales y confidenciales, lo que eleva la gravedad de la situación.
El impacto es preocupante, considerando que Psicotest.mx ha reportado más de 20 millones de pruebas psicométricas realizadas, relacionadas con aspectos como competencias laborales, inteligencia, honestidad y valores éticos.
Riesgo de ataques de phishing y otros delitos cibernéticos
La información compartida por Nairo pone en riesgo a los afectados frente a ataques de phishing, ingeniería social o accesos no autorizados a cuentas personales y laborales. Además, las empresas que utilizan Psicotest para evaluar candidatos podrían verse perjudicadas, ya que los registros comprometidos incluyen referencias a las compañías asociadas con las evaluaciones.
Nairo afirmó que la vulnerabilidad explotada para esta filtración ocurrió en 2022, lo que pone en duda la capacidad de Psicotest para garantizar la protección de los datos de sus usuarios y resalta la necesidad de mejorar sus prácticas de seguridad.
De acuerdo con el análisis realizado por Nicolás Azuara, es posible que el atacante solo haya logrado acceder a la base de datos principal, sin poner en riesgo los resultados de las pruebas psicométricas. Aunque los registros permiten adjuntar documentos personales y fotografías, Nairo no mencionó en su publicación que este tipo de archivos estuvieran involucrados.
«Es probable que el acceso a la base de datos se haya dado debido a una configuración incorrecta en el servidor, el uso de contraseñas débiles o mediante un ataque de inyección SQL», comentó Azuara.
Advertencias para usuarios y clientes de Psicotest
Campañas de phishing personalizadas: Uno de los mayores peligros es la posibilidad de que se lleven a cabo ataques de phishing altamente específicos. Con la información filtrada, como nombres, correos electrónicos, fechas de evaluación y las empresas involucradas, los atacantes podrían enviar mensajes fraudulentos que aparenten ser de reclutadores o compañías asociadas. Estos correos maliciosos podrían persuadir a las víctimas para que compartan datos adicionales, descarguen software malicioso o permitan el acceso a cuentas sensibles.
Denuncia actividades sospechosas: Si recibes mensajes, correos o llamadas que te parezcan extraños, informa de inmediato a las autoridades locales, a la Policía Cibernética o directamente a Psicotest. Actúa con precaución y no proporciones información adicional a través de canales sospechosos.
Impacto en empresas y su reputación: La brecha de seguridad no solo afecta a los individuos, sino también a las organizaciones que utilizaron Psicotest para sus procesos de selección. Los datos filtrados incluyen información sobre las compañías para las cuales los candidatos realizaron evaluaciones psicométricas, lo que podría ser usado para desacreditarlas o lanzar ataques dirigidos contra sus sistemas. Esto, a su vez, podría generar desconfianza en sus procesos de contratación y perjudicar su imagen corporativa.
