Se ha emitido una alerta de ciberinteligencia (CTI) tras la detección de múltiples publicaciones en canales clandestinos de distribución de datos, donde actores de amenazas afiliados al colectivo cibercriminal “Chronus Leaks” (específicamente operando bajo los alias “XuT-Hackstage” y “Lizard”) afirman haber comprometido bases de datos críticas pertenecientes a instituciones del Sector Público y el Sector Judicial de la República de Honduras.
En conjunto, los atacantes aseguran haber liberado más de 530,000 registros únicos, exponiendo severamente la Información de Identificación Personal (PII) de ciudadanos, solicitantes de información y servidores públicos del país.
Nota de Inteligencia Crítica: Al momento de la emisión de este reporte, el incidente permanece con estado NO CONFIRMADO. Ninguna de las instituciones gubernamentales u órganos judiciales afectados ha emitido un informe pericial de contención ni un veredicto técnico confirmando la intrusión. Sin embargo, el riesgo preliminar es alto debido a la exposición de metadatos y la disponibilidad de archivos estructurados de gran volumen.
Veredicto Analítico
- Estado: No confirmado (Reclamado por actores de amenazas en canales underground; pendiente de validación técnica oficial).
- Confianza: Moderada-Baja (Existen archivos volcados indexados en junio de 2026, pero requieren correlación cruzada para confirmar su autenticidad y actualidad).
- Riesgo para SOC TDIR / Riesgo Ciudadano: Alto. La filtración cruzada de PII (que incluye documentos nacionales de identidad, fechas de nacimiento, direcciones físicas y teléfonos) otorga a los ciberdelincuentes un arsenal completo para ejecutar fraudes de identidad, extorsiones directas y campañas de suplantación (Spear-Phishing) con un alto índice de éxito.
- Urgencia operativa: Alta para las entidades del Estado hondureño y organizaciones regionales conectadas a sus redes.
- Base del veredicto: Publicación de dos archivos masivos: un CSV de 27.3 MB con más de 87,000 registros de trámites/solicitantes y un archivo de texto plano de 125.3 MB con más de 450,000 registros de identidad civil y localización.
Hallazgos Clave
- Sector y Geografía Afectada: Sector Gubernamental (transparencia/información pública) y Sector Judicial en Honduras.
- Actores de Amenazas: “XuT-Hackstage” y “Lizard” (vinculados al colectivo Chronus Leaks).
- Volumen del Compromiso: Más de 530,000 registros reclamados.
- Naturaleza de los Datos (Supuestamente Comprometidos):
- Identidad Civil Completa: Nombres, números de identidad nacional (DNI), fechas de nacimiento, género y edad.
- Datos de Localización y Contacto: Domicilios físicos, direcciones de correo electrónico, teléfonos fijos y móviles, país y departamento/región.
- Metadatos de Gestión Pública: Números de trámite, estado civil, ocupación, nivel educativo, y datos de contacto de oficiales de información pública.
Análisis Técnico
- Posibles Vectores de Ataque: La estructura de los datos sugiere una extracción directa de bases de datos relacionales (Data Dumping). Esto habitualmente ocurre por:
- Fallas lógicas o vulnerabilidades (ej. Inyección SQL o IDOR) en los portales de consulta legal o de transparencia pública.
- Mala configuración de repositorios de almacenamiento en la nube (buckets S3 o similares sin protección).
- Secuestro previo de credenciales administrativas válidas.
TTPs (MITRE ATT&CK)
- Acceso a Credenciales / Colección: Recopilación de datos de repositorios de información locales o en la nube (Data from Information Repository).
- Exfiltración: Robo de datos a través de medios alternativos o servicios web (Exfiltration Over Web Service / Alternative Protocol).
- Impacto: Fuga de datos confidenciales afectando la reputación gubernamental.
Recomendaciones Operativas
Para los Equipos de Infraestructura Gubernamental (Acción Inmediata)
- Auditoría de Logs e Inspección Perimetral: Rastrear urgentemente los registros de transacciones de los servidores SQL y consolas web institucionales. Buscar descargas masivas o exportaciones inusuales que coincidan con los volúmenes reportados de 125.3 MB y 27.3 MB hacia direcciones IP no autorizadas o nodos Tor.
- Invalidación de Sesiones y Rotación de Credenciales: Forzar el restablecimiento de contraseñas de todos los administradores, oficiales de información y personal judicial con acceso a las bases de datos expuestas.
- Despliegue Estricto de MFA: Implementar y verificar que la Autenticación Multifactor (MFA) esté activa y sin excepciones para cualquier acceso administrativo perimetral.
Para CTI y el SOC
- Monitorización Oscura (Dark Web Monitoring): Proceder a la adquisición de las muestras publicadas para realizar un análisis de correlación y validar si los datos exfiltrados son recientes o producto de fugas históricas consolidadas.
