«Mastica la hamburguesa y ruega por piedad»: clientes de restaurantes de comida rápida reciben envíos postales amenazantes
La privacidad se ha convertido en moneda de cambio en un juego ajeno.
Los clientes de restaurantes que utilizan la plataforma HungerRush empezaron a recibir correos bastante extraños con amenazas de revelar datos. El autor de los mensajes afirmó haber comprometido a la compañía y que intentó obtener una respuesta de sus representantes. Advirtió que estaba dispuesto a publicar información sobre millones de visitantes si se ignoraban sus demandas.
La plataforma HungerRush es más común en EE. UU. y está orientada a empresas de restauración —desde cadenas regionales hasta restaurantes individuales—. La compañía suministra sistemas de gestión de pedidos y pagos, herramientas de pedidos y entrega en línea. Según la propia HungerRush, sus servicios son usados por más de 16 000 establecimientos, incluidos Sbarro, Jet’s Pizza, Fajita Pete’s y Hungry Howie’s.
Los primeros correos se empezaron a enviar la mañana del 4 de marzo. Los mensajes llegaron desde la dirección support@hungerrush[.]com. El autor afirmaba que había enviado previamente demandas a la compañía y amenazó con acciones maliciosas si se seguía ignorando. Varias horas después llegó un segundo correo —ya desde otra dirección, pero también en el dominio hungerrush[.]com—. En el texto se hablaba de acceso a una base de datos con millones de registros. La supuesta lista incluía nombres, direcciones de correo electrónico, contraseñas, números de teléfono, fechas de nacimiento y datos de tarjetas bancarias.
Los destinatarios de los correos empezaron a publicar capturas de pantalla en Reddit y entregaron muestras a periodistas. El análisis de los encabezados técnicos mostró que la distribución se hizo a través del servicio Twilio SendGrid —una plataforma que las empresas suelen usar para enviar recibos, notificaciones y mensajes de marketing—. Los mensajes superaron las comprobaciones SPF, DKIM y DMARC para el dominio hungerrush.com, por lo que los sistemas de correo los aceptaron como legítimos.
En medio del incidente, el cofundador de Hudson Rock, Alon Gal, informó en LinkedIn sobre una posible causa de la filtración. Según los registros del infostealer, en octubre de 2025 un programa malicioso podría haber infectado el dispositivo de un empleado de HungerRush y robado credenciales corporativas. Entre los servicios afectados, Gal mencionó NetSuite, los sistemas de contabilidad QuickBooks, las pasarelas de pago Stripe, el servicio Bill.com, las herramientas corporativas Visa Online y la plataforma Salesforce.
Posteriormente HungerRush declaró que la investigación no confirmó una relación entre esa infección y el incidente actual. La compañía reconoció la violación de seguridad y ya notificó a las autoridades.
Según HungerRush, el atacante accedió a una cuenta de un servicio de marketing por correo electrónico utilizando credenciales de un proveedor tercero. A través de ese acceso se obtuvo la información de contacto de los clientes —nombres, direcciones de correo electrónico, direcciones postales y números de teléfono—, tras lo cual se inició el envío de mensajes con amenazas.
La compañía afirma que información más sensible no se vio afectada. Contraseñas, fechas de nacimiento, números de seguridad social y datos de tarjetas bancarias no formaron parte de la filtración. HungerRush también subraya que los sistemas de la plataforma no almacenan los números de las tarjetas de pago. Por ahora no se han encontrado indicios de compromiso en otros servicios.
Como medida de precaución se desconectó el acceso al servicio de correo afectado para detener más envíos. La investigación continúa.