Hackeos al gobierno mexicano: no es sofisticación, es negligencia
México recibió más de 40 mil millones de intentos de ciberataque en el primer semestre de 2025. Cuatro por segundo. Es un número tan grande que deja de significar nada — hasta que se ve quién está del otro lado defendiendo.
El Estado mexicano lleva años perdiendo datos. SPEI en 2018, PEMEX en 2019, Lotería Nacional en 2021, SEDENA en 2022, INE en 2024, IMSS en 2025, y en enero de 2026 el grupo Chronus se llevó 2.3 TB de 25 dependencias — SAT, IMSS-Bienestar, Secretaría de Salud — con datos de 36.5 millones de personas. Casi un tercio del país.
Lo fácil es echarle la culpa a "hackers sofisticados". Pero cuando uno revisa los reportes técnicos, lo que aparece una y otra vez no es ingeniería ofensiva de punta. Es deuda técnica, credenciales comprometidas y proveedores que llevaban una década sin aplicar un parche.
Lo que realmente está pasando
En 2018, el ataque al SPEI no tocó el core de Banxico. Se centró en los aplicativos de conexión periférica que las instituciones usaban para interactuar con la infraestructura central. Inyectaron transacciones con cuentas emisoras inexistentes y receptoras reales, y el sistema liquidó automáticamente. Entre 300 y 400 millones de pesos se fueron por una capa que nadie estaba auditando bien.
En 2019, PEMEX cayó ante DoppelPaymer. La entrada no fue un zero-day. Fue un empleado abriendo un correo con Emotet — el malware más conocido del mercado — y los atacantes escalando con certificados firmados robados para evadir la detección. El rescate que pidieron fue de 4.9 millones de dólares. La limpieza costó 71.
En 2022, Guacamaya sacó 6 terabytes de la SEDENA. El vector fue ProxyShell: tres CVEs en Microsoft Exchange (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) encadenados para lograr ejecución remota como SYSTEM. Microsoft publicó los parches meses antes del ataque. Nadie los aplicó. El Ejército mexicano — con presupuesto de seguridad nacional — estaba corriendo un servidor de correo sin actualizar durante medio año después de que el fabricante gritara que era urgente.
El hackeo al INE en 2024 ni siquiera tocó los sistemas centrales. Fueron configuraciones incorrectas en bases de datos de proveedores de nube externos. 1.2 mil millones de registros expuestos — incluyendo fotografías biográficas de la credencial para votar — porque alguien olvidó cerrar un bucket.
El IMSS en 2025 fue peor, o más honesto, según se vea. No hubo hackeo. Fue una filtración interna: personal propio con credenciales legítimas vendiendo en la dark web la base de 20 millones de pensionados por 50,000 pesos. Ni un firewall perimetral del mundo detiene eso si la dependencia no tiene DLP ni controles granulares de acceso.
Y el Chronus de 2026 — el más grande — la propia ATDT admitió que entraron con credenciales válidas comprometidas, a través de infraestructuras con más de 20 años de antigüedad, administradas por proveedores privados que nunca aplicaron parches críticos. El gobierno pagó al tercero, el tercero no hizo su trabajo, y nadie estaba monitoreando.
El desnudo de Guacamaya
Lo que hace diferente al hackeo de SEDENA no es el tamaño, son los 6 TB de correos. Es lo que había adentro.
Los documentos probaron que la SEDENA siguió usando Pegasus en 2019 para vigilar periodistas y defensores de derechos humanos, mientras el Ejecutivo juraba públicamente que ya no lo hacían. Se filtraron diagnósticos médicos del presidente que nunca se reportaron con transparencia. Apareció la vigilancia a los padres de los 43 de Ayotzinapa y a colectivos feministas catalogados como "subversivos". La versión oficial del Culiacanazo se cayó: el número real de bajas militares fue mayor al reportado, y la tregua con el Cártel de Sinaloa fue producto de amenazas directas a las familias de los uniformados.
Todo eso salió a la luz porque un servidor Exchange no recibió un parche público. La lección técnica es vergonzosa. La lección política es peor: las mismas herramientas de "inteligencia" que se usaron para espiar ciudadanos quedaron expuestas por la misma incompetencia que las mantenía operando.
El Plan Nacional y sus huecos
La respuesta formal es el Plan Nacional de Ciberseguridad 2025-2030, presentado por la ATDT bajo el gobierno de Sheinbaum. Ocho ejes, CSIRT Nacional, Zero Trust, auditorías obligatorias a proveedores, capacitación a 150,000 servidores públicos vía Escuela Pública de Código.
En papel está bien. En la práctica hay dos problemas que ya señalaron analistas como Víctor Ruiz.
El primero es presupuesto. El plan se publicó sin asignación específica en el Presupuesto de Egresos de la Federación. Un CSOC Federado sin línea presupuestal es un PowerPoint.
El segundo es el horizonte. Metas a 2030 para amenazas que mutan cada semana. Chronus y Scorpion Carmen no operan en ciclos de cinco años. Ya están usando IA generativa para automatizar descubrimiento de vulnerabilidades y producir malware polimórfico que elude los antivirus tradicionales. Un plan con tiempos de sexenio pierde frente a adversarios con tiempos de sprint.
Y la Ley Federal de Ciberseguridad todavía no se publica. Se espera para finales de 2026. Sin ley no hay sanciones reales — ni para los funcionarios que ignoraron los parches durante meses, ni para los proveedores que corrían software de hace quince años con acceso a datos de millones.
El hueco de talento
México tiene un déficit estimado de 300,000 especialistas en ciberseguridad. En el sector público es peor porque los sueldos no compiten ni con empresas privadas mexicanas, mucho menos con las de fuera. Entonces las dependencias contratan proveedores. Los proveedores subcontratan. Nadie hace monitoreo 24/7. Cuando pasa un Chronus, la ATDT activa "protocolos de contingencia" y emite un boletín.
La soberanía digital que se presume en los discursos no existe si las bases de datos del SAT viven en servidores que el proveedor dejó de mantener en 2015.
Pero esto también es una oportunidad concreta para la comunidad técnica mexicana. No la versión romantizada. Hace falta gente que sepa configurar un WAF, rotar credenciales, revisar cabeceras HTTP, auditar una cadena de suministro, responder un incidente. Hace falta formar a esas 300,000 personas, y no va a salir de un plan sexenal. Va a salir de comunidades, bootcamps, talleres y mentorías. De empresas que dejen de ver la ciberseguridad como un gasto y la traten como parte del producto desde el día uno. De desarrolladores que dejen de aceptar deuda técnica de dos décadas como si fuera lo normal.
Los ataques no van a parar. La pregunta es si la siguiente generación de ingenieros va a estar del lado que construye defensas reales, o del lado que escribe los informes forenses después del desastre.
¿Qué opinas? Únete a la conversación en nuestro Discord y comparte tu perspectiva.