🇲🇽 ISSSTE Historical Database with 4M+ Records Allegedly Offered for Sale
A threat actor is advertising what is claimed to be a historical database belonging to Mexico's ISSSTE (Instituto de Seguridad y Servicios Sociales de los Trabajadores del Estado).
According to the forum post:
* The seller claims the database contains more than 4 million historical records.
* Allegedly exposed fields include ISSSTE and NSS numbers, CURP, RFC, payroll and branch information, office numbers, names, parents' names, enrollment details, appointment types, salary adjustments, pension plans, salary payments, and total compensation.
* The dataset is being offered for sale with a negotiable price.
Analyst Note: The authenticity of the dataset has not been independently verified. If genuine, the exposure could affect current and former public-sector employees and retirees, creating significant risks of identity theft, financial fraud, targeted phishing, and other forms of abuse due to the sensitivity and volume of the alleged records.
#DDW #Intelligence #DarkWeb #Mexico
🇲🇽 Mexico Health System Data Allegedly Leaked
A threat actor operating under the name "SoulHemTeam" has claimed responsibility for compromising AAMATES (Ambiente para la Administraci��n y Manejo de Atenciones en Salud), a system associated with Mexico's health sector.
According to the threat actor, the dataset contains approximately 1.75 million records and has been released publicly.
Claimed details:
* Target: AAMATES health management platform
* Sector: Government Healthcare
* Country: Mexico
* Alleged records: 1,753,526
* Format: JSON
* Claimed file size: 1 GB
* Data reportedly released for free
The threat actor states they obtained access to health-related records and claim to possess the complete dataset associated with the targeted system.
At the time of writing, Daily Dark Web has not independently verified the authenticity of the claims, the scope of the alleged compromise, or the contents of the purported dataset.
If confirmed, a breach affecting healthcare systems could expose sensitive personal and medical information, potentially impacting patient privacy, healthcare operations, and public trust.
Analyst Note: Healthcare databases remain among the most valuable targets for cybercriminals due to the long-term value of personal and medical records. Claims involving government healthcare systems warrant careful verification, as threat actors frequently exaggerate access levels and record counts to increase visibility.
#DDW #Intelligence #DarkWeb #Mexico
El ataque de @Claudiashein a Azteca no es aislado.
La presidenta y Morena han intentado silenciar sistemáticamente a quienes exponemos sus vínculos con el crimen organizado.
Ahí les va un "corto" recuento:
- Los magistrados del bienestar intentaron silenciarme por exponer a la abogada de El Chapo.
- Sheinbaum intentó censurar las redes sociales en su fallida reforma electoral.
Lo dijo abiertamente: si hay una campaña como la de "narcopresidenta" en 2024, que el INE diga: se baja.
Que no se nos olvide: si no lo logró fue porque su reforma falló, no porque ella no quisiera.
- Tras el asesinato de Carlos Manzo, fabricaron a presos políticos en Michoacán, Jalisco y CDMX.
Tardamos 55 días en sacar a Raúl Meza de la prisión de Mil Cumbres.
Todavía hay jóvenes obligados a viajar de otros estados a la CDMX para firmar porque aún enfrentan una persecución, a pesar de los vídeos del abuso policial que sufrieron.
- Utilizan a Infodemia para desinformar y atacar periodistas, como lo ha mostrado @ivillasenor con sus demandas y denuncias contra Jenaro Villamil.
- Mientras protegen a Rubén Rocha Moya con su Ejército personal, los periodistas de Sinaloa están expuestos a sufrir un atentado todos los días.
@article19mxca ha alertado incansablemente sobre el uso de la mañanera como herramienta para estigmatizar a periodistas y medios.
Yo he vivido varias veces, primero como empleado de una organización civil y ahora desde nuestros proyectos, las consecuencias de esos ataques: estigmatización, disminución de donantes, presiones fiscales, hordas de bots, amenazas, etc.
Les podrá gustar o no TV Azteca, pero es necesario despertar con un poco de realidad:
Sorpresa, todas las televisoras y medios son propiedad de empresarios. Sorpresa, todas tienen convicciones genuinas y, al mismo tiempo, intereses personales. Sorpresa, todas influyen en la política.
Pero, sorpresa, y esta es la que más importa: Azteca es el único medio que ha decidido seguir exponiendo al gobierno en turno, sin matices, a pesar de los costos que implica enfrentar al poder.
Y ese es el camino correcto: no dar ni un paso hacia atrás y seguir ganando terreno.
Cada vez son más los ciudadanos que se apropian la protesta y la gritan en las calles.
La efectividad de la mañanera y sus medios propagandistas se ha desplomado y ahora enfrentan procesos legales.
Pierden terreno, pero antes de que las cosas mejoren, van a intensificar sus ataques. Y para aguantarlos, no podemos dejar que caiga ni una sola voz, ni un solo periodista y ni un solo medio.
🚨 ¡ALARMANTE! Detienen a líder de banda criminal que operaba desde Banamex; esta implicado en asalto millonario a nómina del DIF Oaxaca
Se trata de un trabajador que tenía acceso a las cámaras de vigilancia de todas las sucursales de Banamex en el país‼️
https://t.co/EdxLtvKaer
🇲🇽 A threat actor on an underground forum is claiming to possess and leak data allegedly associated with BBVA Bancomer bank customers.
According to the post, the compromised data allegedly includes fields related to:
• Names and surnames
• Postal codes
• Cities and municipalities
• Telephone numbers
• Product/account references
• Card expiration-related fields
• State and district information
• Telecom/provider metadata
The actor also shared screenshots appearing to contain structured customer-style records and database excerpts.
At this time:
• The claims remain unverified
• The authenticity of the dataset has not been independently confirmed
• There is no evidence currently indicating a confirmed compromise of BBVA infrastructure
• The data may originate from aggregation, prior leaks, third-party exposure, phishing, or fraud-related collections
Financial-sector datasets remain highly valuable in underground markets due to their usefulness in:
• Banking fraud
• Social engineering
• SIM swapping
• Account takeover attempts
• Identity theft
• Smishing/vishing campaigns
• Synthetic identity operations
• Credential reset abuse
Threat actors commonly weaponize customer data by:
• Impersonating financial institutions
• Sending targeted phishing messages
• Conducting OTP interception scams
• Exploiting weak identity verification processes
• Building fraud intelligence profiles
Banking organizations should prioritize:
• Monitoring abnormal authentication attempts
• Reviewing customer support abuse patterns
• Monitoring phishing infrastructure impersonating the brand
• Reviewing third-party vendor exposure
• Strengthening identity verification workflows
• Enforcing MFA protections and behavioral analytics
Customers should remain alert for:
• Unexpected banking calls or SMS messages
• Fake fraud alerts
• Credential reset attempts
• SIM transfer notifications
• Unauthorized account activity
• Requests for OTP or verification codes
Underground actors frequently exaggerate the scope or freshness of financial datasets, and some listings may involve:
• Repackaged historical leaks
• Mixed datasets from multiple sources
• Partial records
• Fraud collections assembled over time
Daily Dark Web is continuing to monitor underground communities for additional samples, validation, and signs of active abuse tied to this alleged dataset.
#DDW #Intelligence #Mexico #CyberSecurity #DarkWeb #BankingSecurity #ThreatIntelligence #Fraud
‼️🇲🇽 Over 24 million Mexican civilian records allegedly leaked across two combined files
A threat actor claims to have posted two files together containing more than 24 million Mexican civil records, released for free. The samples include personal identifiers, demographic details, employment, and relationship status, with one database alone listed at 24,730,562 entries.
Post details:
▸ Actor(s): NormalLeVrai
▸ Sector: Government / Civil Records
▸ Type: Data Leak
▸ Format: TXT and XLSX (two files)
▸ Price: Free
▸ Records: 24M+ (one DB listed at 24,730,562)
▸ Country: Mexico
Compromised data:
▪ Numeric ID and secondary ID
▪ First name and last name(s)
▪ Gender
▪ Marital/relationship status
▪ Employer or workplace
▪ Birth year / age indicator
▪ City, state, and country of residence
▪ Free-text personal notes/descriptions
▪ Occupation or housewife status
🚨 | CIBERDELINCUENTE VENDE BASE DE DATOS DE CLIENTES INVEX
En grupos de Telegram continúa la venta de información de mexicanos con fines delincuenciales. En esta ocasión, un atacante afirma tener una base con datos de 74,656 mexicanos con tarjetas aprobadas Volaris 2.0 de @invextarjetas
Ya se han documentado varios casos similares. En muchos de ellos, los datos no son sustraídos directamente de la institución financiera, sino de empresas de marketing encargadas de realizar llamadas para la colocación de estos plásticos.
El tema ha cobrado especial relevancia, ya que todo apunta a que las instituciones financieras no están teniendo el suficiente cuidado en la contratación y supervisión de estas compañías.
El resultado es el mismo: bases de datos que terminan circulando en foros de ciberdelincuencia y, posteriormente, olas de fraudes cometidos con esa información.
Drone Hacking: Dronesploit – Metasploit for Drones
Detect drone signals, take control of them, and identify any weak spots before they can target important properties.
https://t.co/J2FkG8N8L9
@three_cube@co11ateral
De acuerdo a datos de Cisco Talos, el phishing volvió a ser el principal método utilizado por los atacantes para comprometer organizaciones en el primer trimestre de 2026. La explotación de aplicacionesel lideraba la categoría. 🐟🎣
#Truchas
https://t.co/M4NHt1YTJz
Obviamente, AMLO lo pensó muy bien después de que le dije que YO no lo haría, precisamente por no ser rentable. Pero- A todo Gobiernicola le vale madre la inversión y el retorno porque no es su dinero y ganan en las compras y en los sueldos que se dan.
OWASP just dropped APTS
A governance standard for autonomous pentesting platforms.
Not a methodology.
A control layer.
Focus: scope enforcement, safe autonomy, manipulation resistance, accountability.
As AI-driven testing scales, this is the guardrail the industry needed.
https://t.co/QWqzCANA6N
🚨 CRITICAL SECURITY ALERT: SENSITIVE MEDICAL DATA LEAK – MINISTRY OF HEALTH MEXICO 🇲🇽🏥
A data leak of extreme severity has been detected, affecting Mexico’s Ministry of Health (Secretaría de Salud). The threat actor "Chronus leaks" has made available a database containing detailed personal and medical information regarding pregnant women in critical condition.
🏢 Affected Entity: Ministry of Health (Mexico).
👤 Threat Actor: Chronus leaks.
📂 Data Type: Protected Health Information (PHI) and Personally Identifiable Information (PII).
📅 Detection Date: April 21, 2026.
📊 Scope of the Breach (Exposed Data)
The leak is particularly grave due to the sensitive nature of the exposed data fields, which include:
Identification: Full name, medical record number, case ID, age, and date of birth.
Social Data: Marital status, occupation, educational level, and home address.
Critical Medical Information: Prenatal care data, gestational age (weeks of gestation), detailed medical complications, discharge reason, and clinical observations.
Administrative: Affiliation type and state/region of birth.
🛡️ Urgent Recommendations (VECERT)
🔒 Breach Remediation: The Ministry of Health must immediately identify and seal off the data exfiltration point, which could be a hospital management system or an epidemiological surveillance database.
👁️ Victim Notification: It is critical to alert the families and patients who may be listed in these records so that they may exercise extreme caution regarding any suspicious phone calls or visits.
Intelligence Monitor: https://t.co/wk9bZJ2Nli
🛡️ "Information obtained through the monitoring of data leak channels. VECERT issues this alert due to the severity of the human impact and the need to protect sensitive personal data."
#CyberSecurity #Mexico #MinistryOfHealth #DataLeak #MedicalRecords #ChronusLeaks #VECERT #Cybersecurity #InfoSec #DataProtection 🇲🇽🏥🛡️⚠️
La venta de la base de datos de llamadas al 911 y 089 de Edomex pone en riesgo a miles de personas.
Imagínense a un narco con el domicilio exacto, número de teléfono y nombre completo de la persona que lo denunció a través de esta línea.
Entrevista con @Danibanez_ 👇
‼️🇲🇽 Data allegedly from Grupo Xcaret (Experiencias Xcaret), a major Mexican tourism and hospitality group, has been leaked for free download on a popular cybercrime forum.
‣ Threat Actor: s1ethx7z
‣ Category: Data Breach / Data Leak
‣ Victim: Grupo Xcaret (xperienciasxcaret)
‣ Industry: Tourism / Hospitality
The leaked data allegedly contains:
▪️ User, name, email
▪️ Group of companies
▪️ Status and actions
▪️ Ticket image and URL
▪️ Property
▪️ Date range
▪️ Sale date and sales folio
▪️ Transaction number / series
▪️ Room number
▪️ Guest name
▪️ Business unit
▪️ Store / terminal
▪️ Amount charged
▪️ Operation type
▪️ Status
▪️ Creation date
▪️ Creator
▪️ Validator
🇲🇽 Mexico Government Workforce Data Leak Alleged — 10M Records Exposed
A dark web post claims a massive leak involving Mexican government workforce data (SEP), with up to 10 million employee records allegedly exposed.
📊 Key Claims:
• Target: SEP (Secretaría de Educación Pública – Mexico)
• Dataset: ~10 million workers
• Data includes:
Full names
CURP (national ID)
RFC (tax ID)
Work schedules (turnos)
Job roles and functions
Payment codes & salary-related data
Hours worked (weekly/monthly)
Organizational structure (unit/sub-unit)
🧠 Threat Intelligence Insight:
• This is highly sensitive government HR/payroll data:
Combines identity + employment + financial indicators
Key risks:
Identity theft using CURP/RFC
Targeted fraud against public sector employees
Insider threat mapping (roles, departments, structure)
• The dataset structure suggests:
HR/payroll system extraction
Potential compromise of centralized administrative systems
⚠️ Assessment:
• Moderate credibility
Detailed schema and realistic government-specific fields
However:
Actor is new / low reputation
No strong proof of full dataset yet
“10M workers” may be:
Inflated or aggregated from multiple sources
⚠️ Risk Implications:
• Large-scale identity fraud in Mexico
• Financial scams targeting government employees
• Social engineering using role and payroll context
• Exposure of internal government workforce structure
📊 Status: Unverified — but high-impact if confirmed
⸻
💬 When payroll data leaks, attackers don’t just see identities — they see who to target and how much it’s worth.
#CyberSecurity #DataBreach #Mexico #SEP #ThreatIntel #DDW
🔴 | Hackean a empresa de ciberseguridad mexicana: espían sus cámaras EN TIEMPO REAL
Un hacker tomó el control total de BePrime, firma regiomontana contratada para proteger la infraestructura digital de Iberdrola, ArcelorMittal, Alsea, Vitro y decenas de corporativos nacionales. Robó 12.6 GB de datos y los publicó COMPLETOS en un foro de ciberdelincuencia.
Según la información expuesta por el atacante, la intrusión no requirió sofisticación especial: las cuentas de administrador de la firma no contaban con autenticación de dos factores, de modo que el intruso entró sin resistencia, robó 12.6 GB de datos críticos y tomó el control de las consolas con las que BePrime supuestamente protegía a sus clientes.
Mediante el compromiso de llaves de API de Cisco Meraki, el atacante obtuvo control sobre 1,858 dispositivos de red —switches y routers— y acceso al tráfico de más de 2,600 equipos conectados.
Desde ahí llegó a las cámaras de seguridad internas de la empresa y de sus clientes, y las vio en tiempo real: oficinas corporativas, áreas de ingeniería, centros de operaciones. Sus empleados trabajaban frente a sus pantallas sin saber que alguien los observaba.
El atacante publicó bases de datos que tendrían transacciones financieras, credenciales de acceso en texto plano y, lo más grave, reportes de auditoría de seguridad —pentests— que detallan punto por punto las vulnerabilidades actuales de cada cliente.
La lista de empresas expuestas abarca sectores enteros de la economía mexicana: Iberdrola, Mexicana de Gas y Orsan en energía; ArcelorMittal, Vitro, Whirlpool e Interceramic en industria y manufactura; Alsea —operadora de Starbucks, Domino's y Vips— y Grupo Bafar en consumo masivo; además de farmacias de alcance nacional y los Sultanes de Monterrey.
⚠️ ATENCIÓN COMUNIDAD
#Booking confirmó que datos de reservas de usuarios fueron accedidos por terceros no autorizados.
Si tienes una reserva activa, presta atención a las notificaciones que estás recibiendo.