El grupo de ransomware LockBit 3.0 cumplió su amenaza: liberó en su sitio de la dark web un total de 97.7 gigabytes de documentos confidenciales pertenecientes a OSSC México, empresa con sede en Zapopan, Jalisco, especializada en el desarrollo de software para nómina y recursos humanos.
La filtración, a la que Publimetro México tuvo acceso directo, incluye datos laborales, fiscales y personales de al menos 7 mil personas. Entre los archivos se encuentran recibos de nómina, contratos, credenciales del INE, CURP, comprobantes de domicilio, cartas de antecedentes no penales y pruebas psicométricas.
Más de 7 mil expedientes digitales expuestos
Un análisis del árbol de archivos revela la magnitud de la brecha:
- 3,658 copias de credenciales del INE
- 474 comprobantes de domicilio
- 424 CURP en PDF
- 409 documentos de nómina
- 407 contratos laborales
- 149 cartas de antecedentes penales
- 197 documentos con datos bancarios
- 52 archivos del SAT
- 26 registros con RFC
- 38 vinculados al INFONAVIT
Cada expediente aparece estructurado por nombre o número de empleado, lo que sugiere que muchos archivos corresponden a trabajadores distintos. Los riesgos son severos: robo de identidad, fraude fiscal, extorsión y suplantación laboral.
El sistema GIRO, puerta de entrada al desastre
OSSC México es la responsable del sistema GIRO, utilizado por diversas empresas para administrar nóminas, pagos y contratos. Esto implica que los documentos filtrados no solo corresponden a empleados de OSSC, sino también a trabajadores de compañías que utilizan esta plataforma.
LockBit 3.0: el grupo detrás del ataque
LockBit es un grupo de ransomware originado en Rusia que opera bajo el modelo Ransomware-as-a-Service (RaaS). Ha sido clasificado por el FBI y Europol como uno de los más activos y peligrosos del mundo, con ataques a hospitales, universidades, gobiernos y multinacionales.
En febrero de 2025, el grupo publicó un mensaje exigiendo un rescate a OSSC México por 100 GB de información robada. Al no recibir respuesta antes del plazo, los archivos fueron liberados:
“Cuando el temporizador termine la cuenta regresiva, podrás encontrar los enlaces con todos los datos sensibles descargados en esta publicación. Si no están, espera. Los archivos definitivamente estarán aquí”.
Riesgos graves y efectos en cadena
La información expuesta podría facilitar:
- Apertura de cuentas bancarias falsas
- Fraude fiscal ante el SAT
- Solicitud de créditos ilegales
- Venta de identidades en el mercado negro
- Extorsión laboral con datos confidenciales
A diferencia de otras brechas, esta filtración compromete la historia laboral completa de miles de mexicanos. Para Víctor Ruiz, fundador de SILIKN e instructor certificado en ciberseguridad:
“Los atacantes pueden aprovechar la información extraída de las bases de datos de la primera víctima para infiltrarse en otras empresas. Mediante técnicas de ingeniería social, pueden suplantar la identidad de la víctima y engañar a sus contactos para obtener acceso a nuevos sistemas y expandir el ataque”.
