Hackean a firma mexicana de ciberseguridad que protege a Alsea y a Los Sultanes de Monterrey

La firma regiomontana Be Prime, dedicada a servicios de ciberseguridad, redes y operación tecnológica para terceros, quedó en el centro de una crisis que golpea una de las fibras más sensibles del mercado digital mexicano.

La empresa reconoció en un comunicado oficial que sufrió “un ataque cibernético”, activó sus protocolos de contención, mitigación, investigación y remediación, y sostuvo que hasta ese momento carecía de evidencia de afectación a la continuidad operativa propia o de sus clientes.

En el mensaje, la firma también anunció procesos legales por difamación y por la difusión de información “falsa, inexacta o fuera de contexto”, una redacción que desplazó la conversación desde el incidente técnico hacia el terreno de la transparencia, la libertad de informar y el derecho de los afectados a saber qué ocurrió con sus datos.

El Economista buscó a representantes de Be Prime para ampliar la información sobre el incidente, sin obtener respuesta al momento de esta publicación.

Brecha y acceso inicial

El incidente se hizo público cuando el periodista Ignacio Gómez Villaseñor divulgó la intrusión y la vinculó con un compromiso de sistemas internos, exposición de cámaras de videovigilancia y extracción de 12.6 gigabytes de información.

La nota publicada por Vanguardia el 15 de abril retomó esa divulgación y sostuvo que el acceso habría ocurrido sin técnicas sofisticadas, porque las cuentas de administrador carecían de autenticación de dos factores.

El mismo reporte añadió que, una vez dentro, el intruso habría comprometido llaves de API de Cisco Meraki y obtenido control de 1,858 dispositivos de red, con visibilidad sobre más de 2,600 equipos conectados.

La gravedad del episodio creció por el tipo de clientes vinculados con la firma. La lista que circuló alrededor de la filtración, y que no ha sido confirmada por la empresa, abarca a sectores estratégicos de la economía mexicana y de la operación corporativa diaria.

En energía aparecen Mexicana de Gas y Orsan. En industria y manufactura figuran ArcelorMittal, Vitro, Whirlpool e Interceramic. En consumo masivo y retail se menciona a Alsea, operadora de Starbucks, Domino's y Vips, así como a Grupo Bafar.

El reporte incluyó a farmacias de alcance nacional y a Los Sultanes de Monterrey. En otras publicaciones públicas, Be Prime dejó constancia directa de su relación con Alsea y con el club regiomontano.

En LinkedIn, la propia empresa presumió que la primera visita a su NOC fue de “nuestro cliente grupo Alsea” y también se presentó como patrocinador oficial de Sultanes de Monterrey, además de describir trabajos de conectividad en el Estadio Mobil Super.

Cuando una empresa de ciberseguridad es vulnerada, el daño potencial rebasa la reputación del proveedor. También involucra auditorías, arquitecturas de red, activos de autenticación, monitoreo remoto, mapas operativos y, en el extremo, decisiones de negocio de clientes que delegaron parte de su superficie tecnológica a un tercero.

En industrias con un alto componente de operación distribuida, como restaurantes, manufactura, energía o entretenimiento, una filtración de este tipo abre preguntas sobre la profundidad real de la dependencia tecnológica y el alcance de la debida diligencia con la que se evalúa a los prestadores especializados.

Falla en controles elementales

Alberto Daniel Hill, investigador de seguridad independiente, describió el caso como una falla de seguridad operativa en controles elementales. Hill también apunta a la ausencia de doble factor y al almacenamiento de contraseñas en texto plano, dos prácticas que, en su lectura, quedan por debajo del umbral mínimo esperable para una firma cuya oferta comercial gira precisamente alrededor de la protección técnica de terceros.

“Es una empresa bastante nueva que tiene clientes sumamente importantes, en particular en el sistema energético y ¿cómo consiguió una empresa así clientes tan importantes? Y no solo es lo del doble factor de autenticación, sino que las contraseñas estaban almacenadas en texto plano”, dijo.

Hill empujó la implicación económica y política del caso hacia una escala mayor. A su juicio, una firma que participa en sectores sensibles, con clientes corporativos de gran tamaño y con exposición sobre infraestructura crítica, tendría que haber atravesado revisiones, certificaciones, procesos de control y exigencias mínimas de gobernanza tecnológica.

Si la filtración exhibió debilidades básicas, la pregunta relevante ya no se limita a cómo entró el atacante. También abarca cómo se ganaron esos contratos, bajo qué criterios fueron supervisados y qué clase de evidencia de cumplimiento pidieron los clientes antes de confiar su operación, su conectividad o seguridad a Be Prime.

Crisis de confianza y respuesta

La parte más delicada del episodio surgió cuando la empresa llevó el conflicto al terreno legal y discursivo. El comunicado oficial expresó su agradecimiento a clientes y aliados, habló de continuidad operativa y afirmó que informaría por los canales correspondientes conforme avanzaran las investigaciones.

A la vez, la comunicación advirtió sobre acciones legales contra medios y personas identificadas. En un contexto donde México acumula filtraciones, bases de datos expuestas y episodios de opacidad institucional, esa decisión tuvo un efecto inmediato. El foco dejó de estar sólo en el atacante y se movió hacia la reacción de la empresa frente al escrutinio público.

Hill leyó ese movimiento como un intento de intimidación contra quienes documentan incidentes de seguridad. Desde su perspectiva, la discusión pública sobre brechas, filtraciones y exposición de datos cumple una función de interés público porque informa a los afectados, obliga a las organizaciones a rendir cuentas y permite contrastar la narrativa oficial con la evidencia técnica disponible.

“La comunidad de ciberseguridad estamos para ayudarlos, no somos enemigos, o sea, acciones legales si van a amenazar con tomar, háganlo con los responsables de haber sido hackeados, no lo hagan con nosotros, que lo que hacemos es investigar, es sacar a la luz cosas que la gente debe saber, no desinformar”, dijo.

Este choque entre filtración y respuesta corporativa deja una conclusión más amplia para el ecosistema digital mexicano. La vulneración de un proveedor de ciberseguridad erosiona de inmediato el activo más valioso de ese mercado, que es la confianza. La amenaza legal contra quienes investigan o publican añade otra capa de deterioro porque sugiere una gestión de crisis orientada al control del relato antes que a la rendición de cuentas.

En empresas que trabajan con clientes como Alsea, Sultanes de Monterrey, Mexicana de Gas, Orsan, ArcelorMittal, Vitro, Whirlpool, Interceramic o Grupo Bafar, esa mezcla de exposición técnica, incertidumbre informativa y endurecimiento discursivo adquiere una dimensión económica evidente. La cuestión va más allá de una simple intrusión. Lo que está en tela de juicio es la efectividad de los controles, la minuciosidad de la supervisión contractual y la verdadera competencia de una empresa para salvaguardar datos cruciales cuando su propia seguridad se ha visto comprometida.