Q-Argus · Breach Intelligence Report

[01]Cobertura de dominios — búsqueda dual

racafe.com

Dominio principal · email canónico

47

Por dominio

12

Por origin

escuelaracafe.com

Portal educativo · stealer activo

0

Por dominio

5

Por origin

racafe.com.co

Colombia · sin exposición

0

Por dominio

0

Por origin

racafe.co

Defensive · sin exposición

0

Por dominio

0

Por origin

racafe.ch

Suiza · sin exposición

0

Por dominio

0

Por origin

¿Por qué dos tipos de búsqueda? La búsqueda por dominio encuentra correos `@racafe.com` expuestos en cualquier brecha. La búsqueda por origin encuentra credenciales capturadas por infostealer cuando el usuario inició sesión en el portal de Racafé — independientemente del dominio del correo. Esto permite detectar usuarios externos (proveedores, clientes, contratistas) con acceso comprometido y revela que escuelaracafe.com tiene actividad de stealer activa que la búsqueda por dominio no detectó.

[02]Resumen ejecutivo

Se realizó una consulta de inteligencia de brechas sobre los dominios corporativos del grupo Racafé & Cía S.A. mediante Q-Argus Breach Intelligence, utilizando búsqueda dual: por dominio y por origin (portal comprometido). El análisis reveló 62 registros totales: 47 de cuentas `@racafe.com` (30 únicas) y 15 adicionales de usuarios que accedieron a los portales `racafe.com` y `escuelaracafe.com` con credenciales capturadas por stealer. El 47 % del total proviene de Stealer Logs (29/62), indicando compromiso activo de estaciones de trabajo. Se detectaron 4 cuentas críticas, incluyendo dos cuentas administrativas de TI que comparten una contraseña institucional expuesta, y actividad de infostealer confirmada en escuelaracafe.com, no detectada por la búsqueda por dominio.

62

Registros totales

30

Cuentas @racafe.com

15+

Usuarios externos (portal)

4

Cuentas críticas

47%

Stealer Logs

23

Contraseñas débiles

3

Portales comprometidos

[03]Nivel de riesgo

CRÍTICO — Cuentas administrativas TI con contraseña compartida expuesta

`adminserviciosi@racafe.com` y `admserviciosti@racafe.com` comparten la contraseña Racafe*2013* capturada por Stealer Logs. Acceso administrativo a sistemas TI internos potencialmente comprometido desde equipos infectados.

CRÍTICO — Portal escuelaracafe.com comprometido por infostealer

5 registros de acceso al portal `escuelaracafe.com` capturados por stealer. La búsqueda por dominio devolvió 0 — esta exposición solo es visible con búsqueda por origin. Contraseña Hagilm20229 coincide con el usuario más expuesto del dominio principal (`hagil@racafe.com`), confirmando reutilización de credenciales entre portales.

CRÍTICO — 29 registros de Stealer Logs (47 % del total)

Malware infostealer activo en equipos de empleados y posiblemente de usuarios del portal. Credenciales capturadas en tiempo real desde sesiones de navegador — pueden estar aún vigentes en sistemas internos.

ALTO — Patrones de contraseña institucionales predecibles

Patrones detectados: Racafe*2013*, RacMed*XXXX*, RcaRacafe2022*, Racafe2011, racafe literal. Patrón regional en portales: Antioquia2021*, Hojamara2022*, Palmas20+ (referencias a fincas o variedades).

ALTO — 15 usuarios externos con acceso comprometido al portal

Los registros de origin muestran usuarios con correos no-`@racafe.com` que iniciaron sesión en `racafe.com` y `escuelaracafe.com` con credenciales capturadas. Sus accesos al portal pueden seguir activos.

INFORMATIVO — racafe.com.co, racafe.co, racafe.ch sin exposición detectada

Ninguno de estos dominios tiene registros en la base de datos de Q-Argus en búsqueda por dominio ni por origin.

[04]Fuentes de brecha — vista consolidada

Fuente / Portal	Registros	Distribución	Tipo	Fecha
Stealer Logs	29	46.8%	Infostealer	Activo
Unknown	8	12.9%	Desconocido	—
LinkedIn.com	5	8.1%	Brecha	May 2012
ShareThis.com	3	4.8%	Brecha	Jul 2018
GoNitro.com	3	4.8%	Brecha	Ago 2020
Edmodo	2	3.2%	Brecha	May 2017
Canva.com	2	3.2%	Brecha	May 2019
Deezer.com	2	3.2%	Brecha	Sep 2019
Otras (9 fuentes)	8	12.9%	Brecha	2016 – 2026

[05]Análisis de contraseñas — vista consolidada

Categoría	Cantidad
Con contraseña expuesta	45
Débiles (≤ 8 caracteres)	23
Solo numéricas	9
Sin contraseña (passwordless)	17
Con patrón institucional	8

Patrón detectado	Ejemplos
racafe (literal)	racafe ×2, Racafe2011
RacafeXXXX	Racafe2013 (×2 admin)
RcaRacafe*	RcaRacafe2022* (portal)
RacMedXXXX*	RacMed2021, RacMed4243, RacMed3132*
Región/Finca+Año	Antioquia2021, Hojamara2022, Palmas20+
Solo numéricas	9725538, 2947750, 901431339, 0836649
Nombre propio	carreno, camilo, rodolfo

[06]Top cuentas @racafe.com más expuestas

Email	Registros	Distribución	Fuentes principales
hagil@racafe.com	9	9/47	Stealer Logs — también en `escuelaracafe.com` (Hagilm20229)
jdonado@racafe.com	4	4/47	Taringa / GoNitro / Deezer / 500px
cespinosa@racafe.com	3	3/47	Unknown / LinkedIn 2012
rodolfo@racafe.com	3	3/47	Houzz / ShareThis / CarnivalCorp 2026
ydcardenas@racafe.com	2	2/47	Stealer Logs
nbecerra@racafe.com	2	2/47	LinkedIn (pwd "racafe") / Twitter

[07]Base de credenciales comprometidas — dominio + origin

62 registros

#	Email / Usuario	Contraseña	Fuente / Brecha	Portal (origin)	Fecha	Tipo

[08]Cuentas críticas y administrativas comprometidas

Impacto operacional crítico

Se identificaron cuentas administrativas TI con credenciales expuestas vía infostealer. Las cuentas de administración de servicios comparten una contraseña institucional idéntica. Si alguna de estas cuentas tiene acceso al directorio activo, ERP, servidores o paneles de administración, el impacto es de máxima severidad.

Email	Área / Función	Contraseña expuesta	Fuente	Riesgo
adminserviciosi@racafe.com	Administración Servicios I — TI	Racafe2013	Stealer Logs	Crítico
admserviciosti@racafe.com	Administración Servicios TI	Racafe2013	Stealer Logs	Crítico
nbecerra@racafe.com	Usuario corporativo	racafe	LinkedIn.com	Crítico
becerra@racafe.com	Usuario corporativo	racafe	Unknown	Crítico

[09]Hallazgos adicionales de alto impacto

Contraseña compartida entre ambas cuentas admin (Racafe*2013*)

`adminserviciosi@` y `admserviciosti@` tienen exactamente la misma contraseña. Indica credenciales de servicio compartidas — práctica de alto riesgo. Si un equipo está infectado y las credenciales fueron capturadas, ambas cuentas están comprometidas simultáneamente.

hagil@racafe.com — 9 registros + actividad en escuelaracafe.com

Usuario más expuesto del dominio (9 registros, todos Stealer Logs). La contraseña Hagilm20229 aparece capturada también en el portal `escuelaracafe.com`, confirmando reutilización de credenciales entre portales corporativos desde un equipo infectado.

rurrego@racafe.com (Coordinador de Sistemas) — Racafe2011 en LinkedIn

Contraseña institucional basada en el nombre de la empresa expuesta en LinkedIn (brecha 2012). Si este patrón sigue vigente internamente, es un vector de ataque inmediato dirigido al equipo de TI.

lcarreno@racafe.com (Gerente General) — pwd "carreno" en LinkedIn 2012

El correo del Gerente General aparece en la brecha de LinkedIn 2012 con la contraseña `carreno` (apellido). Aunque sea una contraseña histórica, el ejecutivo es objetivo prioritario para campañas de spear-phishing y suplantación.

[10]Análisis de portales comprometidos por infostealer (búsqueda por origin)

Los Stealer Logs capturan las credenciales que un usuario ingresa en el navegador en el momento de la infección. La búsqueda por origin permite identificar qué portales web de Racafé han sido accedidos desde equipos infectados, independientemente del dominio del correo del usuario. Esto es especialmente relevante para detectar accesos de proveedores, clientes o contratistas comprometidos.

racafe.com / www.racafe.com · 12 registros

Email capturado	Contraseña	Portal	Observación
hagil@racafe.com	9725538	racafe.com / www.racafe.com	Usuario corporativo — mismo equipo infectado
N/A (externo)	120782-juanjo-S	racafe.com	Usuario "juanjo" con cédula — externo
N/A (externo)	Antioquia2021*	racafe.com	Patrón regional (Antioquia · zona cafetera)
N/A (externo)	eVeZeJ725.	racafe.com	—
N/A (externo)	010671-juanjo-S	racafe.com	Posible mismo "juanjo" — otro acceso
N/A (externo)	901431339	racafe.com	Numérica — posible cédula
N/A (externo)	Andres27-	www.racafe.com	—
N/A (externo)	RcaRacafe2022*	www.racafe.com	Patrón institucional — posible empleado
N/A (externo)	c4EVbkG	www.racafe.com	Débil (7 chars)
N/A (externo)	Hojamara2022*	www.racafe.com	Posible variedad de café / finca
N/A (externo)	E8R7JAko	www.racafe.com	Débil (8 chars)
N/A (externo)	Palmas20+	www.racafe.com	Posible referencia agrícola (Las Palmas)

escuelaracafe.com · 5 registros stealer · invisible para búsqueda por dominio

Portal educativo comprometido — invisible para búsqueda por dominio

`escuelaracafe.com` tiene 0 correos `@escuelaracafe.com` en brechas, pero la búsqueda por origin revela 5 accesos capturados por stealer. Esto indica que el portal usa correos `@racafe.com` u otros dominios, y que hay actividad de infostealer activa en equipos que acceden a este portal.

Email capturado	Contraseña	Portal	Observación
N/A	Hagilm20229	escuelaracafe.com	Mismo patrón que `hagil@racafe.com` — reutilización de credenciales
N/A	9725538	escuelaracafe.com	Contraseña ya vista en `hagil@racafe.com`
N/A	Hagilm20229	escuelaracafe.com	Duplicado — mismo acceso capturado dos veces
N/A	0836649	escuelaracafe.com	Numérica débil
N/A	1836649	escuelaracafe.com	Similar a contraseña de hagil (1836649)

[11]Plan de remediación priorizado

1
Cambio inmediato y auditoría de cuentas admin TI Cambio urgente de `adminserviciosi@` y `admserviciosti@` — verificar accesos activos en Active Directory, ERP, paneles de administración. Invalidar todas las sesiones existentes. Revisar logs de autenticación desde la fecha de captura del stealer para detectar acceso no autorizado.
2
Auditoría forense en equipos infectados por infostealer 29 registros de stealer activo. Análisis urgente en equipos de: hagil, adminserviciosi, admserviciosti, ydcardenas, ljramirez, y cualquier equipo que acceda a `racafe.com` y `escuelaracafe.com`. Identificar, contener y erradicar el malware. Revocar credenciales capturadas.
3
Forzar restablecimiento de contraseñas para las 30 cuentas expuestas Prioridad: 4 cuentas críticas (adminserviciosi, admserviciosti, nbecerra, becerra). Luego las 26 restantes. Verificar que ninguna contraseña expuesta siga activa en sistemas internos. Especial atención a `hagil@` por 9 contraseñas expuestas.
4
Revocar accesos al portal escuelaracafe.com El portal tiene actividad de infostealer confirmada. Forzar re-autenticación de todos los usuarios. Los registros con email N/A (usuarios externos) deben ser auditados — contactar y notificar a proveedores/clientes con acceso activo al portal.
5
Implementar MFA en racafe.com, escuelaracafe.com y sistemas internos Autenticación multifactor obligatoria en portales corporativos, acceso VPN, correo, ERP y sistemas administrativos. Especialmente urgente para cuentas admin TI. El stealer puede capturar contraseñas pero no OTPs de hardware o app autenticadora.
6
Prohibir patrones institucionales en contraseñas Bloquear: `racafe`, `racmed`, `rca`, `antioquia`, `hojamara`, `palmas` y variaciones. Política mínimo 14 caracteres, complejidad real, sin términos de la empresa o región. Implementar gestor de contraseñas corporativo. Capacitar sobre reutilización de contraseñas entre portales.
7
Política de uso de correo corporativo en plataformas externas Correos `@racafe.com` expuestos en LinkedIn, ShareThis, GoNitro, Canva, Deezer, Edmodo, Houzz, Luxottica, CarnivalCorp, V-TightGel y más. Implementar política de uso aceptable y concientización — el mayor vector de exposición en brechas es el registro en servicios de terceros con el correo corporativo.
8
Auditoría de cuentas genéricas / huérfanas Verificar si `adminserviciosi@`, `admserviciosti@`, `becerra@` (sin nombre), `rodolfo@` y `lfvalencia@` corresponden a empleados activos. Desactivar cuentas de exempleados. Eliminar cuentas de servicio compartidas y reemplazarlas por cuentas individuales con MFA.
9
Monitoreo continuo de inteligencia de brechas Suscripción a alertas automáticas de Q-Argus para `racafe.com`, `racafe.com.co`, `racafe.co`, `racafe.ch` y `escuelaracafe.com`. Configurar alertas por origin para los portales corporativos. Los dominios secundarios están limpios hoy, pero deben monitorearse.