ES
ES EN FR DE JA AR
Inicio | Blog | HexDex: La BL2C atrapa al perfil del hacker detrás de las filtraciones francesas

HexDex: BL2C atrapa al hacker detrás de las filtraciones francesas

Escrito por: REACT

7 minutos de lectura22 de abril de 2026

Desde este fin de semana, circula en LinkedIn una captura: una página de inicio de sesión con los colores de la BL2C y la fiscalía de París, acompañada de la mención «trabajo en curso», reemplazó el perfil en línea de HexDex. La imagen alimenta la idea de una gran imputación. Los elementos públicos disponibles pintan un cuadro más matizado y, para un CISO, el matiz tiene consecuencias operativas concretas.

¿Quién es HexDex y por qué su nombre aparece en cada filtración francesa?

HexDex es el seudónimo de un actor (o grupo) al que se le atribuyen varias de las brechas de datos francesas más importantes de los últimos meses. TF1 Info lo describe como «uno de los principales hackers detrás de las filtraciones de datos francesas». El seudónimo, que el propio interesado explica como una referencia al hexadecimal « el lenguaje puro de las máquinas » y la idea de un índice explorando los sistemas de información, está asociado a la reventa de datos resultantes del ciberataque al Ministerio de Educación Nacional del 15 de marzo de 2026, que comprometió los datos personales de 243.000 agentes.

En una entrevista a ZATAZ, HexDex describía un modelo de negocio sin adornos: «Todo lo que hago bajo la bandera de HexDex tiene un objetivo claro: ganar dinero.» Detalla una cadena de reventa minorista, análisis, indexación, venta a intermediarios que a su vez revenden a sus propios clientes. Sin ideología, sin hacktivismo: un ecosistema de reventa de datos en la dark web que CybelAngel supervise en continu pour ses clients.

¿Qué sucedió exactamente entre el 1 de enero y el 22 de abril de 2026?

La cronología pública contiene dos asuntos distintos, a menudo confundidos desde la aparición de la página de introducción.

  • 1 de enero de 2026 — Ciberataque contra la Oficina Francesa de Inmigración e Integración (OFII).
  • 15 de marzo de 2026 — Ciberataque al Ministerio de Educación Nacional; datos de 243.000 agentes expuestos, revendidos en línea por un grupo identificado como Hexdex.
  • 17 y 18 de marzo de 2026 — Consulta fraudulenta de datos de identificación de policías en activo a través de la plataforma de formación e-campus de la policía nacional.
  • 19 de marzo de 2026 — Dos jóvenes de 20 y 17 años imputados en París por el ataque a la OFII; decomiso de teléfonos y material.
  • 30 de marzo de 2026 — La Fiscalía de París encarga a la BL2C investigar la intrusión en e-campus.
  • 15 de abril de 2026 — La Dirección General de la Policía Nacional (DGPN) confirma públicamente el pirateo de e-campus a France Info.

Los dos imputados del 19 de marzo lo fueron por la OFII, no por e-campus. El requerimiento de la BL2C sobre el tema de e-campus se produjo once días después. Nada en las comunicaciones oficiales establece hasta la fecha que estas dos personas sean las que se esconden detrás de la firma HexDex del caso e-campus. Para un RSSI, este matiz es importante: mientras la cadena de atribución no esté cerrada, considerar que «HexDex ha sido neutralizado» sería prematuro.

¿Quién investiga HexDex y con qué medios?

La investigación se lleva a cabo en dos etapas. Por parte de la policía, la Brigada de lucha contra la ciberdelincuencia (BL2C) de la prefectura de policía de París, heredera de la BEFTI, rebautizada en 2019 y adscrita a la subdirección Cyber/Fi con sede en el 36, rue du Bastion (París 17e). Por parte de la fiscalía, la sección J3, dirigida por Johanna Brousse, vicefiscal de 40 años instalada en el piso 25 del tribunal de París.

Los medios, por su parte, siguen siendo insuficientes en relación con la carga de trabajo. La sección J3 funciona con seis magistrados, tres asistentes especializados y cuatro secretarios para una competencia nacional que, según Les Échos, sumaba 2.437 casos en curso en octubre de 2025. « En 2017, cuando me incorporé a la fiscalía de delitos cibernéticos, solo éramos dos. », recuerda la vicefiscal al mismo medio. Un RSSI que confía exclusivamente en la respuesta judicial para proteger sus datos sobreestima los medios disponibles y subestima el tiempo promedio de una investigación cibernética.

¿Qué riesgo penal corre HexDex?

El marco aplicable se basa principalmente en cuatro artículos del Código Penal:

  • Artículo 323-1 — acceso o permanencia fraudulenta en un sistema de tratamiento automatizado de datos: 2 años de prisión, 60 000 € de multa.
  • Artículo 323-3 — extracción o modificación fraudulenta de datos: 5 años, 150.000 €.
  • Artículo 321-1 — robo de datos procedentes de un hackeo: hasta 5 años y 375.000 €.
  • Artículo 223-1-1 — difusión de información personal que exponga a miembros de las fuerzas del orden a un riesgo directo: 3 años y 45.000 €, elevado a 5 años cuando la víctima es un agente depositario de la autoridad pública.

Este último artículo es el que tiene más peso en el ámbito del e-campus. Una sentencia del Tribunal de Casación del 11 de febrero de 2025 confirmó la admisibilidad de la constitución en parte civil de los policías afectados cuando sus datos son expuestos. En la práctica, sin embargo, los procedimientos franceses anteriores por hechos comparables a menudo han resultado en penas parcialmente suspendidas, lejos de los máximos teóricos.

HexDex, los programas de ransomware y la geografía de la amenaza cibernética francesa

HexDex no es un grupo de ransomware. Su modelo, reivindicado públicamente, es la reventa fraccionada de bases de datos, corretaje de datos criminal, no cifrado de rescate. Pero los dos ecosistemas no son herméticos: comparten los mismos foros, los mismos corredores de acceso, y a menudo las mismas víctimas a intervalos de doce meses.

Los datos exfiltrados por actores del tipo HexDex alimentan directamente la fase de reconocimiento de los grupos de ransomware. Un identificador de empleado comprometido a través de una filtración de 2024 se convierte en el punto de entrada de un ataque. Akira en 2026, que, según datos de marzo de 2026 difundidos por Breachsense, ha publicado 84 víctimas en un mes y ahora puede pasar del acceso inicial al cifrado completo de la red en menos de cuatro horas. RansomHub, que recruta agressivamente afiliados experientes e desbancou vários nomes estabelecidos, depende muito de credenciais já em circulação. Cl0p, maestro del modelo de extorsión cuádruple, ha desviado parte de sus ataques hacia el robo puro de datos, con más de 500 millones de dólares recaudados en concepto de rescates, según cifras citadas por CybelAngel y CISA.

El informe CybelAngel 2024 faisait état d’une hausse de 42 % des attaques ransomware déclarées et de 125 % du nombre de groupes actifs. Francia está en la mira: los ataques silenciosos que extraen sin cifrar y activan la solicitud de rescate solo una vez que tienen los datos en su poder, difuminan la línea entre corretaje de datos y ransomware y dejan inoperantes las defensas calibradas para el escenario clásico de «cifrado + nota de rescate».

Para ir más allá — Nuestro ebook Ransomware Actor Profiling ofrece siete perfiles operativos detallados de los grupos más activos del mercado (Black Basta, RansomHub, Ryuk, Akira, Cl0p, Lynx, DragonForce), sus TTPs, sus vectores de infiltración preferidos y los patrones a detectar.

Descargar el ebook

Lo que el caso HexDex cambia concretamente para las empresas francesas

11 à 15 millions de Français touchés par la fuite Cegedim. 1,5 million de collégiens et lycéens par l’UNSS.

HexDex cae, si es que realmente cae, en el corazón de una serie negra cuya escala es ahora industrial. Once a quince millones de franceses afectados por la filtración de Cegedim. 1,5 millón de estudiantes de secundaria y bachillerato por la UNSS. 774.000 estudiantes por el Crous. 450.000 personas por la exfiltración en el Ministerio de Deportes. El hacker ético Clément Domingo, alias SAXX, presentó públicamente un archivo que acumula 60 millones de datos provenientes de estas filtraciones, estimando que « los datos de ocho de cada diez franceses ya circulan en este ecosistema ».

Las consecuencias posteriores son medibles. La usurpación de números de teléfono se disparó un 517 % en un año, síntoma directo de un mercado de datos donde cada fuga alimenta a la siguiente. Para un CISO o un DPO, se desprenden tres conclusiones operativas.

Tus datos probablemente ya están circulando. Independientemente de la seguridad de su propio sistema de información, los datos de sus colaboradores, proveedores y clientes podrían haber quedado expuestos a través de un tercero. La pregunta ya no es , pero cuáles y desde cuándo. Une vigilancia continua de los identificadores comprometidos en los foros especializados y los mercados cibercriminales es ahora parte del núcleo, no de la opción.

El atacante está en tu tercera parte de la cancha, no en tu corazón. Las intrusiones en e-campus y en Educación nacional ilustran un esquema recurrente: no es el SI central el que cae, sino una plataforma de formación, un proveedor de RRHH, un subcontratista de aplicaciones. La mapeo continuo de la superficie de ataque externa, incluidos activos olvidados, entornos de preproducción, proveedores conectados, es un requisito previo, no un lujo.

Sobre el autor

REACT

El REACT Team es un grupo de élite de analistas de ciberseguridad que trabajan en CybelAngel.

lee todos los artículos