Hackearon a BePrime, la empresa que protegía a Starbucks, Domino's e Iberdrola en México: tus datos en riesgo
Un hacker identificado como dylanmarly penetró BePrime, firma regiomontana de ciberseguridad, robó 12.6 GB de datos y accedió en tiempo real a las cámaras de sus clientes corporativos. La respuesta de la empresa fue amenazar con demandar a quienes lo reportaron.
Imagínate que contratas a una empresa de seguridad para que cuide tu casa. Le das llaves, códigos, acceso a tus cámaras, contraseñas de todo. Y resulta que a esa empresa le entran los ladrones sin mayor problema porque el guardia de seguridad no traía ni candado en la puerta. Eso, más o menos, es lo que le pasó a BePrime esta semana, y las consecuencias las están pagando empresas como Starbucks, Domino’s e Iberdrola.
¿Quién es BePrime y por qué esto importa tanto?
BePrime es una firma de ciberseguridad con sede en Monterrey, Nuevo León. Su negocio es básicamente ese: proteger la infraestructura digital de corporativos grandes. Administran redes, monitorean dispositivos, hacen auditorías de seguridad, instalan soluciones Cisco Meraki. En papel, son los que saben de este rollo.
Entre sus clientes estaban nombres que probablemente conoces muy bien: Alsea (la empresa detrás de Starbucks, Domino’s y Vips en México), Iberdrola, ArcelorMittal, Vitro, Whirlpool, Interceramic, Grupo Bafar, los Sultanes de Monterrey, Mexicana de Gas, y más. Hablar de BePrime es hablar de la red de seguridad digital de buena parte del corporativo regiomontano y nacional.
El hackeo: sin sofisticación, sin drama, sin 2FA
El 14 y 15 de abril de 2026, un actor de amenazas identificado como dylanmarly penetró los sistemas de BePrime. Y aquí viene la parte que duele: no necesitó ningún exploit sofisticado, ni ingeniería social elaborada, ni meses de trabajo previo.
Según el análisis de VECERT y Brinztech documentado por EscudoDigital, las cuentas de administrador de BePrime no tenían autenticación de dos factores (2FA). Punto. Una compañía que cobra por blindar infraestructuras críticas de terceros no tenía activado uno de los controles de seguridad más básicos en sus propios sistemas. Es como que el cerrajero te cobre por poner cinco chapas en tu puerta y él deje la suya con la llave puesta.
Una vez adentro, dylanmarly obtuvo las API keys de Cisco Meraki y tomó control de 1,858 dispositivos de red (switches, routers, puntos de acceso) con visibilidad sobre más de 2,600 equipos conectados. Además, tuvo acceso en tiempo real a las cámaras de seguridad de las oficinas de BePrime y de sus clientes. En total, extrajo y publicó en un foro de ciberdelincuentes 12.6 GB de información.
El mensaje que acompañó la filtración fue directo: “Sus datos no están seguros.”
¿Qué datos se llevaron exactamente?
Esto es lo que hace que la situación sea especialmente grave. No hablamos solo de correos internos o archivos de Recursos Humanos. Lo que se filtró incluye:
- Credenciales en texto plano: contraseñas sin cifrado, accesibles directamente
- API keys de Cisco Meraki: con esto se controlan los dispositivos de red de los clientes
- Reportes de pentesting: auditorías de seguridad que BePrime había hecho a sus propios clientes, detallando sus vulnerabilidades
- Información de transacciones financieras
- Acceso a cámaras en tiempo real
El punto de los pentests es particularmente delicado. Un reporte de pentest es básicamente un mapa del tesoro que dice “aquí están todos los hoyos de seguridad de esta empresa”. Si ese documento cae en manos de alguien con malas intenciones, tienes una guía priorizada para comprometer esas organizaciones. Botcrawl lo describe bien: es como darle a un ladrón el plano de tu casa con las zonas sin cámaras marcadas en rojo.
Esto conecta directamente con algo que vemos cada vez más: las empresas de seguridad se convierten en el eslabón débil precisamente porque tienen acceso privilegiado a todo. No es muy diferente a lo que pasó cuando Adobe filtró 13 millones de tickets de soporte de Creative Cloud esta semana, donde la cadena de custodia de datos de terceros se rompe en los lugares menos esperados.
Las empresas que deberían estar sudando frío ahorita
Los clientes de BePrime que fueron mencionados en las filtraciones:
| Empresa | Sector |
|---|---|
| Alsea (Starbucks, Domino’s, Vips) | Restaurantes |
| Iberdrola | Energía |
| ArcelorMittal | Manufactura |
| Vitro | Manufactura |
| Whirlpool | Electrodomésticos |
| Interceramic | Construcción |
| Grupo Bafar | Alimentos |
| Sultanes de Monterrey | Deportes |
| Mexicana de Gas / Orsan | Energía |
Al momento de publicar esta nota, ninguna de estas empresas ni la propia BePrime han emitido un comunicado público confirmando el alcance del incidente. Eso ya es problemático de por sí.
Y si trabajas en alguna de estas empresas o eres cliente habitual de sus servicios, la pregunta válida es: ¿qué tanto de tu información pasó por los sistemas que BePrime administraba?
La respuesta de BePrime: reconocer el hack, pero amenazar con demandar
Aquí es donde la historia se pone más interesante, o más triste, dependiendo de cómo lo veas.
Según reportó @ivillasenor en X, BePrime emitió un comunicado admitiendo la vulneración y mencionando la activación de “protocolos de contención inmediatos”. Hasta ahí, maniobra estándar de crisis. Pero luego procedieron a amenazar con acciones legales contra los periodistas y medios que habían difundido la información.
No mames. Te hackean, exponen los datos de tus clientes, y tu reacción es ir contra quien lo reportó. El cazador cazado, literal.
Es una táctica que se ha visto antes: usar el miedo legal para enfriar la cobertura de un incidente de seguridad vergonzoso. Pero en este caso la ironía es tan grande que resulta contraproducente: una empresa de ciberseguridad que no tenía 2FA activado no tiene mucho terreno moral para demandar a nadie.
Qué hacer si tienes algo que ver con estas empresas
Si trabajas en alguna de las organizaciones mencionadas o si tu empresa usa servicios administrados de red, aquí va lo básico al chile:
Si eres empleado de Alsea, Iberdrola, ArcelorMittal o cualquiera de los afectados:
- Cambia tus contraseñas corporativas YA, especialmente si son las mismas que usas en otras cuentas
- Activa 2FA en todo lo que puedas
- Reporta actividad sospechosa en tu red a tu equipo de TI
- Asume que tus credenciales internas pueden estar comprometidas hasta que tu empresa confirme lo contrario
Si tu empresa usa proveedores de ciberseguridad externalizados: este es el momento de preguntar directamente si tienen 2FA en sus cuentas de administrador, si cifran las credenciales que guardan, y qué protocolo tienen en caso de brecha. Si no pueden responder esas tres preguntas de inmediato, hay un problema.
Vale la pena recordar que la seguridad corporativa no es solo tecnología: es también el hábito de revisar a tus propios proveedores, como ya exploramos en nuestro análisis de por qué Google quiere acceso a tu Gmail y tus fotos. Los datos que cedes a terceros son tan seguros como el eslabón más débil de toda la cadena.
El problema de fondo: el sector corporativo mexicano y la ciberseguridad de adorno
Hay algo estructural que este incidente pone sobre la mesa. BePrime no era una empresa pequeña ni desconocida. Tenía contratos con empresas del tamaño de Iberdrola y Alsea. Y aún así, no tenía 2FA.
¿Cuántas otras empresas de seguridad que operan en México tienen el mismo nivel de descuido en sus propios sistemas? La respuesta honesta es que probablemente muchas. La ciberseguridad corporativa en México todavía se percibe mucho como un check en una lista de compliance, no como una práctica viva y revisada constantemente.
Este caso es re piola para los que estudian seguridad ofensiva porque ilustra algo que los pentesters dicen todo el tiempo: el ataque más efectivo no suele ser el más sofisticado. A veces con no tener 2FA en las cuentas de admin ya te dieron todo el acceso que necesitaban.
¿Trabajas en alguna de las empresas afectadas o conoces a alguien que sí? Cuéntanos en los comentarios cómo están manejando la situación interna, o si ya recibieron algún comunicado oficial de sus equipos de TI.
Fuentes
- EscudoDigital: Hackean a empresa de ciberseguridad y exponen datos y cámaras de clientes
- Vanguardia: Alerta por presunto hackeo, mencionan a Alsea entre clientes expuestos
- Botcrawl: BePrime Data Breach Claim Raises Questions After Reported 2FA Failure
- Analisis.mx: El cazador cazado: Hackean a la empresa que protegía a Iberdrola, ArcelorMittal y Alsea
- Ignacio Gómez Villaseñor en X: BePrime admite hackeo y amenaza con demandar
- VECERT Analyzer en X: Critical Cybersecurity Alert sobre BePrime
Comentarios
No te pierdas ningún post
Recibe lo nuevo de Al Chile Tech directo en tu correo. Sin spam.
También te puede interesar
.svg/500px-SAT_logo_(2017).svg.png){kind=logo}
Así usaron a Claude de Anthropic para hackear el SAT, el INE y 7 agencias más: 150GB de datos mexicanos robados con IA
Un operador desconocido usó Claude Code para explotar 20 vulnerabilidades en 9 instituciones mexicanas entre diciembre 2025 y enero 2026. Tus datos fiscales y electorales podrían estar en el mercado negro.
Crunchyroll fue hackeado y tus datos están en riesgo: qué hacer si tienes cuenta en México
ShinyHunters robó 100GB de datos de Crunchyroll a través de phishing a Telus Digital: 6.8 millones de correos expuestos, tickets de soporte y posiblemente datos de pago. Guía para protegerte desde México.
Rockstar Games hackeada por ShinyHunters: 78 millones de registros filtrados a través de Anodot (y qué pedo con tu cuenta)
ShinyHunters comprometió a Rockstar Games desde adentro: usaron una brecha en Anodot para meterse al Snowflake de Rockstar y filtrar 78.6 millones de registros. Te explicamos qué hay en el leak, qué NO hay, y si tu cuenta de Social Club está en riesgo.