Un anuncio en el foro clandestino DarkForums aseguró recientemente haber comprometido el mensajero Max y robado 142 GB de datos de usuarios, unos 15,4 millones de registros. El supuesto atacante, bajo el alias CamelliaBtw, describió una explotación avanzada de una vulnerabilidad 0‑day y prometió publicar parte de la base. Pocas horas después, el equipo de Max desmintió la historia y el propio autor reconoció que todo era falso. El caso ilustra cómo las falsas filtraciones de datos se han convertido en una herramienta de presión y fraude.
Supuesto hackeo del mensajero Max en DarkForums
En su publicación, CamelliaBtw afirmó haber descubierto durante la beta de Max en 2025 una vulnerabilidad de día cero en el motor de procesamiento de archivos multimedia del mensajero. En ciberseguridad, un 0‑day es una falla desconocida para el proveedor y para los fabricantes de soluciones de seguridad, para la que aún no existe parche.
Según el relato del foro, la vulnerabilidad habría permitido inyectar un payload malicioso en los metadatos de un paquete de stickers. Este enfoque recuerda a ataques reales en los que código malicioso se oculta en metadatos de imágenes o documentos y se ejecuta cuando una aplicación vulnerable los procesa. El autor aseguraba que así obtuvo un “acceso persistente” a la infraestructura de Max y fue exfiltrando datos de forma sigilosa.
También sostuvo que intentó reportar la falla a través de un programa de bug bounty, y que, ante la falta de respuesta, decidió “publicar” la base de datos. Como “prueba”, prometió liberar 5 GB vía torrents y publicó fragmentos que atribuyó a datos personales de un diputado ruso.
Respuesta de Max y evidencias técnicas de que fue un falso hackeo
La empresa Max calificó públicamente el anuncio como “otro fake” y aportó varios elementos técnicos que contradicen la historia del foro. El primero fue de infraestructura: el mensaje describía el uso de servicios de almacenamiento extranjeros, incluyendo Amazon, mientras que Max afirmó que todos sus datos se almacenan en servidores ubicados en Rusia y que no utilizan la nube de Amazon.
El segundo punto clave fue el tratamiento de contraseñas. En los fragmentos filtrados se mencionaba el uso de bcrypt como algoritmo de hash, pero el equipo de seguridad de Max indicó que su sistema no utiliza bcrypt para almacenar contraseñas. El hash es una función criptográfica que permite guardar contraseñas como “huellas” irreversibles en lugar de texto plano; el formato concreto de estos hashes suele ser un indicador fiable del origen real de una base filtrada.
Además, el análisis de registros internos no mostró ningún patrón de actividad anómala compatible con la extracción de 142 GB de información ni con un acceso persistente a la infraestructura. Max también negó haber recibido reportes de fallos de seguridad de ningún usuario con el alias CamelliaBtw.
Un argumento adicional fue la propia estructura de los supuestos datos filtrados: incluían campos como ubicación, fecha de nacimiento, correo electrónico, NIF, números de seguridad social, “nivel de cuenta” y username. Según la empresa, Max no recolecta ni almacena este tipo de información, no clasifica a los usuarios por niveles y no usa el formato de nombre de usuario mostrado. Todo ello apunta a que los registros procedían de otra fuente o habían sido generados artificialmente.
Tras la publicación de estas aclaraciones, CamelliaBtw admitió que no existía ninguna vulnerabilidad ni intrusión real y que su mensaje en DarkForums fue deliberadamente falso, subrayando que no esperaba que la noticia se viralizara en canales de mensajería.
Por qué proliferan las filtraciones de datos falsas en la dark web
El caso de Max encaja en una tendencia creciente: los “pseudo-hackeos” y filtraciones ficticias se utilizan como herramienta de desinformación, chantaje o simple autopromoción. Foros como DarkForums proporcionan visibilidad ante una audiencia predispuesta a creer en grandes ciberataques. Informes de organismos como ENISA o el Verizon Data Breach Investigations Report señalan un aumento de campañas donde la amenaza de filtración, más que la filtración real, se usa para presionar a organizaciones.
Las motivaciones varían: dañar la reputación de un servicio, vender supuestos accesos “exclusivos” a bases que no existen, o lanzar campañas de extorsión confiando en que la víctima no pueda verificar de inmediato la autenticidad de los datos.
Riesgos reales para los usuarios ante noticias de hackeos falsos
Aunque el ataque sea inventado, los usuarios siguen expuestos a riesgos. El ruido mediático en torno a una marca es un terreno fértil para campañas de phishing temáticas: correos o mensajes que se hacen pasar por el soporte oficial del servicio, instando a “cambiar urgentemente la contraseña tras la filtración”. Al seguir enlaces maliciosos, los usuarios terminan entregando sus credenciales a atacantes reales.
Además, la saturación de noticias —auténticas y falsas— sobre brechas de seguridad erosiona la confianza en los servicios digitales y dificulta la labor de los equipos de ciberseguridad, que deben responder rápidamente y con transparencia para no dejar espacio a la desinformación.
Cómo verificar noticias sobre hackeos y filtraciones de datos
Ante cualquier noticia de posible fuga de datos, tanto usuarios como empresas deberían seguir un conjunto mínimo de comprobaciones. El primer paso es revisar los canales oficiales del servicio: web corporativa, blog de seguridad, página de estado y cuentas verificadas en redes sociales. Las organizaciones con procesos maduros de seguridad suelen publicar avisos claros cuando confirman un incidente.
También conviene analizar los detalles técnicos de la supuesta filtración. Campos de datos que el servicio no recolecta, estructuras de tablas incoherentes o tecnologías que la plataforma no utiliza —como ocurrió con bcrypt en el caso de Max— son señales de alerta. En filtraciones reales, es habitual que investigadores independientes o CERT nacionales publiquen indicadores de compromiso (IOC) y análisis técnicos complementarios.
Otro principio básico es desconfiar de “consejos de seguridad” que llegan por canales no verificados. Si se sugiere instalar una aplicación, seguir un enlace o introducir credenciales para “comprobar si su cuenta fue afectada”, es preferible ir directamente a la web o app oficial, cambiar la contraseña desde allí, activar la autenticación multifactor y revisar que la aplicación esté actualizada.
La falsa brecha del mensajero Max demuestra la necesidad de mantener una visión crítica ante las noticias sobre ciberataques: verificar fuentes, revisar los detalles técnicos y reforzar la higiene digital —contraseñas únicas y robustas, 2FA, actualizaciones regulares y prudencia ante mensajes inesperados—. Para las empresas, la mejor defensa es una comunicación rápida y transparente, junto con monitorización continua de su infraestructura. Cuanto más madura sea esta cultura de seguridad, menos margen tendrán tanto los atacantes reales como quienes intentan explotar el miedo a las filtraciones que nunca ocurrieron.
