Jalisco

Filtraciones exhiben rezagos en la ciberseguridad del sector público: Especialistas

En los últimos años distintas autoridades de México han enfrentado ataques cibernéticos que han derivado en fugas importantes de información

Por: Rubí Bobadilla

Los recientes reportes sobre un posible robo masivo o hackeo de información a instituciones federales como el Servicio de Administración Tributaria (SAT), el Instituto Mexicano del Seguro Social (IMSS), y estatales como Sonora, Querétaro y Ciudad de México, han expuesto la vulnerabilidad de la operatividad de sus sistemas informáticos, consideraron especialistas en ciberseguridad, además de alertar sobre el riesgo que podría correr la información sensible que pudiera haber sido robada.

Para Jersain Llamas Covarrubias, CEO de Obex, empresa de ciberseguridad estratégica, el manejo de la información requiere cautela para no generar alarmas hasta no conocer el alcance de las afectaciones ya que, en primer lugar, aún no existe una confirmación oficial que permita dimensionar con precisión qué información fue obtenida, cómo se obtuvo y si corresponde a datos vigentes o históricos. 

Advierten que no hay pruebas de hackeo pese a rumores de filtración de datos

Llamas Covarrubias explicó que, aunque en foros y espacios digitales se habla de la venta de bases de datos con información como nombre, domicilio, número de seguridad social, edad y registros fiscales, el principal riesgo en esta etapa es asumir como cierto un escenario que no ha sido validado por la autoridad. Subrayó que, sin una confrontación técnica oficial, no es posible afirmar si se trata de una intrusión directa a los sistemas o de información obtenida por otros medios.

“Uno de los mayores hackeos que hemos tenido fue la filtración de base de datos del INE, después Guacamaya Leaks, que fue a la Sedena. Pero este, podría inferirse que es un ataque múltiple. En internet y principalmente en redes sociales se reportó que más de 20 instituciones públicas federales y estatales se están vendiendo por un grupo cibernético llamado Cronos, y aunque decían que la información se publicaría el 31 de diciembre, se adelantaron y ya publicaron la base de datos”, recordó el especialista. 

LEE: Investigan posible hackeo en instituciones públicas

“El problema aquí es que, como no hay una confrontación de información de que el Gobierno haya dicho que esa base de datos sí se pudo dar o que es información actualizada, no podemos decir qué tanto se robó. Se tiene que verificar primero si no son datos históricos, datos viejos, o si no son datos scrapeados, es decir, datos que con un sistema de inteligencia artificial se pueden obtener al recoger información pública de la web y convertirla en bases de datos para venderlas”, indicó el ciberespecialista. 

Especialista pide cautela: Aún no se confirma si la filtración fue hackeo o simple web scraping

En ese sentido, señaló que incluso la magnitud del impacto depende de la naturaleza de los datos y de su organización, ya que solo a partir de ese análisis puede determinarse si se trata de una vulneración real de los sistemas institucionales o de información pública agregada de manera automatizada.

“Apenas sabiendo qué es lo que está en la base de datos, qué tan bien organizada está, podremos saber si realmente fue una vulneración o nada más fue web scraping. No quiere decir que no haya pasado, pero de momento estamos en una primera aproximación para ver qué tan grave es la vulneración”, dijo.

El CEO de Obex refirió que estos hechos dentro de un marco normativo no concretado en México, donde los incidentes de ciberseguridad suelen abordarse como asuntos administrativos de protección de datos personales y no como eventos críticos de seguridad digital, lo que dificulta es su reconocimiento público y la forma en la que se trata el hecho, además de exhibir la vulnerabilidad de las instituciones. 

 El CEO de Obex señaló que en México los incidentes de ciberseguridad aún se tratan como temas administrativos de protección de datos y no como eventos críticos de seguridad digital. PIXABAY

“Es complicado su tratamiento porque no hay un marco normativo específico. Apenas se está construyendo la política nacional de ciberseguridad y no hay delitos informáticos en sí. Esto empuja a que se trate como un asunto de protección de datos personales y no como un incidente de ciberseguridad significativo, a pesar de que existe una coordinación general”, dijo.

De confirmarse que la información es auténtica y fue obtenida mediante una intrusión directa, Llamas Covarrubias advirtió que los riesgos para los ciudadanos podrían ser significativos y extenderse más allá del ámbito digital.

“Si hubo una afectación de tal nivel, se podrían potencializar nuevas amenazas, como que una persona con tu información pueda suplantar tu identidad en el ámbito digital, hacer doxing publicando la información sin consentimiento, o realizar extorsiones contactando a las personas para amenazar con el mal uso de sus datos”, alertó el especialista. 

Recomienda reforzar la “ciber higiene” ante posibles filtraciones de datos

Ante ello, insistió en que la primera recomendación es esperar la validación oficial del incidente, ya que solo así puede determinarse si existe una afectación real y de qué magnitud.

Pero mientras ello ocurre, y considerando que las autoridades sean conscientes de la importancia de transparentar dicha información, recomendó a las y los ciudadanos que adopten prácticas de “ciber higiene”, es decir, verificar que las plataformas con las que interactúan son reales y oficiales, debido a que existen múltiples formas de suplantación digital que no necesariamente implican una brecha directa en los sistemas gubernamentales.

“El ciudadano debe nada más utilizar canales oficiales, verificar los dominios de las plataformas, porque hoy día cualquier persona puede hacer un dominio que parezca del IMSS y la gente piense que es real, pero puede no serlo. Lo importante es verificar que sea el dominio verídico y que tenga protocolo cifrado”.

También instó a mantenerse pendientes de su información financiera y crediticia, pues de corroborarse y de estar en juego información como nombres, direcciones, y CURPs, entre otras, es posible que comiencen a ocurrir casos de suplantación de identidad. Para ello, señaló, es clave el establecer alertas, tanto en servicios especializados como en plataformas financieras y bancarias para detectar usos indebidos de la información personal en foros o espacios no autorizados.

También, dijo, es importante fomentar una cultura activa de denuncia y reporte, al señalar que en muchos casos los incidentes permanecen sin detectarse durante largos periodos hasta que un ciudadano o un periodista alerta sobre una posible filtración.

“La cultura del reporte y la denuncia es clave, porque probablemente la dependencia no se dio cuenta de la vulneración y lleva años así, y hasta que un reportero o un ciudadano lo reporta es cuando realmente se dan cuenta de que las cosas no están bien”, señaló. 

Gobierno investiga posible filtración de datos atribuida al grupo hacker Cronos

El Gobierno de México, a través de la Secretaría Anticorrupción y Buen Gobierno, afirmó que ha identificado la presunta vulneración de bases de datos personales pertenecientes a diversas instituciones públicas, y ha iniciado una investigación de oficio con el objetivo de analizar el origen del incidente, identificar posibles fallas en las medidas de seguridad y, en su caso, determinar las infracciones administrativas que correspondan y deslindar responsabilidades.

“Si bien, en espacios de la deep web se presume que la obtención de la información derivó de un hackeo, la investigación considerará todas las hipótesis posibles, incluyendo el uso indebido de credenciales de acceso o una eventual filtración interna”, señaló la Secretaría a través de un comunicado.

Desde una perspectiva técnica, César Gaytán, director general de Galditi.com empresa de ciberseguridad, indicó que los indicios apuntan a que la información, extraída y difundida por un grupo de hackers identificado como Cronos, habría comenzado a mostrar evidencias de la filtración a finales de septiembre a través de un canal en Telegram, “soltando” la información hace un par de días, confirmando tales amezanas.

Si bien dicho canal ya no existe, dijo, las muestras publicadas en su momento permitieron confirmar que sí hubo una extracción de datos, aunque hasta ahora no se conoce con precisión el mecanismo utilizado ni la totalidad de la información comprometida.

“Es un hecho, sí existe la filtración, sí hay información indicada que fue distribuida por este medio. Normalmente estas filtraciones las organizan para demostrar poder, para demostrar que existen y que son comunes estas fallas de seguridad en las diferentes dependencias. Al día de hoy no se sabe por qué se filtró la información ni cómo se extrajo; hay hipótesis que son las que normalmente suceden, como errores de configuración en sistemas que dejan accesos abiertos desde el exterior”, indicó respecto de cómo pudieron acceder a los datos vulnerados. 

Los indicios señalan que la información sustraída y difundida por el grupo de hackers Cronos comenzó a mostrar señales de filtración desde finales de septiembre, a través de un canal en Telegram: César Gaytán 

La información presuntamente comprometida no se limita a una sola institución. De acuerdo con el análisis, se identifican datos relacionados con más de 100 mil contribuyentes del SAT, así como registros de dependencias estatales y municipales, con una concentración relevante en entidades de Sonora. Este patrón sugiere la posibilidad de un acceso inicial a sistemas locales, desde donde el ataque pudo escalar hacia bases de datos compartidas a nivel nacional, aunque este punto aún no puede confirmarse.

“Hay una inclinación fuerte a Sonora, entonces quizás lograron infiltrarse en algún sistema del Gobierno de Sonora y de ahí fueron escalando hasta sacar esta información. La parte nacional, que es el SAT, puede ser un daño colateral, alguna base de datos compartida entre gobiernos. La trama es relativamente pequeña, son 100 mil contribuyentes, pero el problema es el tipo de información: nombre, RFC, domicilios, correos, teléfonos e información fiscal”, señaló el especialista. 

Alertan sobre riesgo de fraudes e intentos de suplantación tras posible filtración de datos

Más allá del origen del ataque, el principal riesgo, dijo, se encuentra en el uso indebido de los datos filtrados, particularmente para esquemas de suplantación de identidad y fraudes dirigidos a ciudadanos. Correos electrónicos falsos, llamadas apócrifas o mensajes que simulan provenir de dependencias oficiales podrían incrementarse en los próximos días, semanas o meses, aprovechando la credibilidad de las instituciones afectadas.

“El riesgo es que haya intentos de suplantación de identidad, que te llegue un correo diciendo que es del SAT, que cambies tu contraseña, o links falsos. La primera recomendación es no hacer clic en enlaces y comunicarse directamente con las dependencias por medios oficiales”, coincidió el especialista. 

Piden reforzar seguridad digital y activar alertas ante posible filtración de datos públicos

Entre las medidas preventivas recomendadas se encuentra la activación de alertas en el buzón tributario del SAT, la supervisión constante del historial crediticio (por ejemplo, a través del Buró de Crédito, el cambio de contraseñas en servicios relacionados y el monitoreo constante de comunicados oficiales. 

Asimismo, existen plataformas gratuitas que permiten verificar si correos, números telefónicos o contraseñas han sido expuestos en filtraciones conocidas, lo que puede ayudar a tomar decisiones oportunas.

Insistió en que, aunque el caso aún se encuentra en desarrollo y no se conoce con exactitud la calidad ni la totalidad de los datos comprometidos, el incidente vuelve a poner sobre la mesa la necesidad de fortalecer los sistemas de seguridad digital en el sector público y de fomentar una cultura de prevención entre los usuarios.

“No es tan grande el problema como otros casos que he visto en el pasado, pero sí es un golpe. La información ya es pública, aunque no se sabe con exactitud cuánta ni qué tan completa es. Vamos a ver qué dicen los canales oficiales y cómo evoluciona en los próximos días”, señaló. 

Los hackeos son procesos largos y requieren análisis forense para confirmar el alcance: Experto

Por último, Mario Morfín, ingeniero especialista en ciberseguridad, explicó que este tipo de ataques no se ejecutan de manera inmediata ni responden a una sola acción. Señaló que se trata de procesos prolongados, con distintas fases, que pueden llevar meses de planeación y pruebas previas, por lo que antes de confirmar qué información fue sustraída y de qué forma, es indispensable realizar análisis técnicos y forenses completos.

“De lo que es un hackeo, para empezar, cuando ocurra un ataque a un objetivo, ya sea ese objetivo sea una institución pública, sea una institución privada, sea incluso hasta un usuario. Primero haces un análisis, empiezas a ver cuáles son los puntos vulnerables de ese tipo de infraestructura que tiene. Después de las vulnerabilidades, haces la infiltración. Y una vez que estás hecho la infiltración, haces elevación de privilegios. Entonces son diferentes fases, ya una vez que haces un ataque, para que tú puedas extraer la información”, explicó. 

Alertan que vulnerabilidades varían entre instituciones y urge reforzar la ciberseguridad

Mario Morfín indicó que cada institución cuenta con infraestructuras tecnológicas distintas, aun cuando pertenezcan al mismo ámbito gubernamental, lo que impide generalizar cómo ocurrió un ataque o asumir que los sistemas de seguridad son homogéneos.

Indicó que dependencias como el SAT o el IMSS manejan esquemas que pueden operar de manera autónoma por entidad federativa, con servidores y configuraciones propias, lo que vuelve más complejo identificar con precisión los puntos vulnerados sin conocer detalles técnicos específicos.

“Cada institución funciona de forma independiente, o pudiéramos decir autónoma. O sea, no tiene la misma seguridad, por ejemplo, CFE que Pemex o que SIAPA. El SAT, al final de cuentas, la información se captura en Jalisco, pero es en Jalisco el servidor que replica la información a México, como todos los demás Estados. Pero aún así sigue siendo independiente o autónomo cada Estado”, explicó.

Morfín subrayó que un ataque de esta magnitud no se ejecuta en cuestión de horas, ya que implica reconocer servicios expuestos, puertos abiertos y posibles vulnerabilidades, así como realizar pruebas constantes antes de lograr una infiltración exitosa. Añadió que, una vez dentro del sistema, los atacantes buscan escalar privilegios para acceder a la información de interés y posteriormente borrar rastros de su actividad.

En ese sentido, insistió en que lo principal es determinar el alcance real del robo y las herramientas especializadas que fueron utilizadas para ello, resultados que no pueden obtenerse de inmediato, pues incluso es necesario aplicar análisis forenses para identificar por dónde se ingresó, qué fallas se explotaron y qué datos pudieron verse comprometidos.

“Se necesita invertir mucho en ciberseguridad, para que, aunque tengan un intento de hacer una intervención, se tengan herramientas de software que permitan que no haya filtración de información”, dijo.

Los hackeos más importantes hechos a autoridades de México

En los últimos años distintas autoridades de México han enfrentado ataques cibernéticos que han derivado en fugas importantes de información, que han demostrado la debilidad de su infraestructura en materia de ciberseguridad, exponiendo no solo datos financieros, sino información personal de las y los ciudadanos, e incluso, algunos de los secretos mejor guardados del Estado. 

Guacamaya Leaks

Uno de los incidentes más importantes fue el ocurrido en 2022 a partir de los llamados “Guacamaya Leaks”, donde un grupo de hackers filtró seis terabytes de información de la Secretaría de la Defensa Nacional (Sedena).

Este ataque, que aprovechó una vulnerabilidad no parchada en servidores de correo, expuso desde operativos de inteligencia hasta actos de corrupción, sin dejar de lado que se exhibieron detalles sobre la salud del entonces presidente de México, Andrés Manuel López Obrador, convirtiéndose en la filtración más masiva en la historia del país. 

Pemex

Apenas tres años antes, en 2019, Pemex sufrió una parálisis administrativa sin precedentes tras un ataque de ransomware del grupo DoppelPaymer. Los atacantes exigieron cinco millones de dólares en bitcoins para liberar los sistemas de facturación y control, obligando a la petrolera estatal a operar manualmente durante semanas para evitar el desabasto nacional.

Aunque Pemex negó haber pagado, el ataque causó retrasos en la cadena de suministro y problemas operativos severos por semanas, pues para librarse del problema hubo que desconectar los sistemas internos. Durante semanas, la facturación, los pagos a proveedores y el control de inventarios se realizaron de forma manual con papel y pluma. 

SPEI

Sin embargo, el sector económico no ha sido inmune. En 2018, el Sistema de Pagos Electrónicos Interbancarios (SPEI) sufrió una inyección de datos fraudulentos que resultó en el robo de aproximadamente 800 millones de pesos. Los criminales no vulneraron el Banco de México directamente, sino las conexiones de los bancos comerciales, permitiendo retiros masivos de efectivo en cuestión de minutos. 

Buró de Crédito

En 2023 el Buró de Crédito confirmó la venta ilegal de una base de datos de 2016 en la dark web. Esta filtración puso en riesgo la identidad de millones de mexicanos al exponer historiales crediticios, domicilios y RFC, herramientas clave para el fraude bancario contemporáneo. 

Lotería Nacional

La vulnerabilidad también alcanzó a instituciones como la Lotería Nacional en 2021, donde el grupo identificado como Avaddon utilizó la técnica de "doble extorsión", cifrando los sistemas y amenazando con revelar contratos y finanzas internas si no se pagaba un rescate.

El desenlace fue inusual, pues, de forma sorpresiva, Avaddon anunció su cierre, y los hackers enviaron de manera anónima a un portal de ciberseguridad una base de datos que contenía dos mil 934 llaves de descifrado, gracias a lo cual la Lotería Nacional y otras víctimas pudieron recuperar el acceso a sus archivos cifrados “sin tener que pagar el rescate exigido”. 

Instituto Nacional Electoral

Por último, se encuentra el caso del Instituto Nacional Electoral (INE): en 2016 se expuso en Amazon el padrón electoral, y recientemente, en el mes de octubre, cuando se había hecho público un supuesto hackeo reciente, el Instituto señaló que era falso que esto hubiera ocurrido en 2025, pero confirmó un intento de vulneración a su sistema en 2024, en el marco del periodo electoral.

En octubre del año pasado ciberdelincuentes afirmaron en foros de la Dark Web tener acceso a los servidores del Instituto Nacional Electoral (INE), ofreciendo bases de datos presuntamente actualizadas. Ante esto, la autoridad electoral precisó que la información correspondía a un incidente ya detectado y contenido en el 2024, el cual se originó mediante un intento de intrusión aprovechando una vulnerabilidad en un software de WordPress.

Sin embargo, el INE afirmó que ese “evento” fue identificado a tiempo y focalizado en herramientas de gestión de contenidos y comunicación, sin lograr escalar a los sistemas centrales. 

EE

Temas

Sigue navegando

visita también