En el mundo digital, incluso los usuarios más precavidos pueden ser víctimas de amenazas sofisticadas. Una de las más peligrosas y difíciles de detectar es el pharming, una técnica de ciberataque que redirige el tráfico web legítimo hacia sitios falsos sin que la víctima lo note.

El objetivo es robar información confidencial como contraseñas, datos bancarios o credenciales personales. A diferencia de otras estafas, el pharming puede afectar a cualquiera, incluso si no ha hecho clic en enlaces sospechosos o descargado archivos extraños.

La importancia de este ataque radica en su capacidad para eludir la vigilancia del usuario. Es posible escribir correctamente la dirección de un sitio web y, aun así, terminar en una copia fraudulenta preparada para robar tus datos. Por eso, entender cómo funciona el pharming y cómo protegerse es crucial en la era de la ciberseguridad.

¿Cómo funciona el pharming?

El pharming se basa en manipular la forma en que tu dispositivo traduce las direcciones web (como www.Infobae.com) a direcciones IP numéricas que entienden las computadoras. Existen dos tipos principales de ataque:

• Pharming por virus: los ciberdelincuentes instalan malware en tu equipo que modifica el archivo “hosts”, responsable de dirigir las solicitudes web. Así, aunque escribas la dirección real de tu banco, el sistema te lleva a un sitio falso pero visualmente idéntico al original. El usuario puede ver la URL correcta y hasta el candado de seguridad, lo que hace que el engaño sea casi imposible de detectar.

• Pharming por servidor comprometido: En este caso, los atacantes manipulan los servidores DNS (Domain Name System) que convierten las direcciones web en IPs. Si un servidor DNS es atacado, puede redirigir a miles de usuarios a páginas falsas al mismo tiempo, sin que deban tener ningún virus en su dispositivo.

Cómo identificar un ataque de pharming

Detectar el pharming no es fácil, pero algunas pistas pueden ayudar:

• El sitio web se ve diferente a lo habitual, con cambios en colores, tipografía o logos.
• No aparece el candado HTTPS, o el certificado parece sospechoso.
• El navegador va más lento de lo normal.
• Aparecen alertas de seguridad inesperadas.
• Recibes notificaciones de cargos extraños o inicios de sesión no reconocidos.

Ante cualquiera de estos indicios, lo recomendable es no ingresar más información, cerrar el navegador, analizar el equipo con antivirus, cambiar todas las contraseñas y revisar los movimientos bancarios.

Cómo protegerse del pharming

Protegerse frente al pharming requiere una combinación de buenas prácticas y herramientas de ciberseguridad:

• Mantén el sistema operativo, el navegador y el software de seguridad actualizados.
• Verifica el certificado HTTPS y el candado antes de ingresar datos sensibles.
• Descarga programas solo de sitios oficiales y desconfía de ofertas demasiado buenas para ser ciertas.
• Utiliza contraseñas únicas y robustas para cada servicio, y considera un gestor de contraseñas.
• Activa la autenticación en dos pasos siempre que sea posible.
• Usa una VPN premium que ofrezca funciones avanzadas, como servidores DNS propios y protección frente a amenazas.

Cuál es la diferencia entre el pharming y el phishing

Aunque ambos buscan robar datos personales, el phishing requiere que el usuario interactúe con un enlace falso, generalmente recibido por correo o mensaje. El pharming, en cambio, puede engañar a usuarios que no han cometido ningún error, ya que la manipulación ocurre a nivel del sistema o de servidores externos. El alcance del pharming puede ser masivo y las señales de alerta son mucho más sutiles

El pharming es efectivo porque no depende de la acción del usuario: puede engañar a cualquiera, incluso si navega con prudencia y atención. Los atacantes perfeccionan sus técnicas para replicar sitios web originales y burlar controles de seguridad, por lo que la prevención y la vigilancia son esenciales.

La mejor defensa es mantener el software actualizado, adoptar hábitos de navegación seguros y utilizar herramientas que refuercen la protección de los datos personales, como una VPN y la autenticación multifactor. Estar informado y atento es clave para evitar ser víctima de uno de los ataques más sofisticados del cibercrimen actual.

La Fiscalía General del Estado de Guanajuato (FGEG) fijó postura tras la primera filtración masiva de datos sensibles derivada del ciberataque atribuido al grupo internacional de hackers identificado como “Tekir APT”, el cual comenzó a difundir archivos sustraídos de la infraestructura digital del organismo.

En concreto, la institución confirmó la apertura de una carpeta de investigación y aseguró que informará “de manera gradual, responsable y transparente los hallazgos que puedan hacerse públicos sin poner en riesgo ninguna investigación”.

La respuesta institucional llega después de que especialistas en ciberseguridad verificaran la publicación de un volumen aproximado de 70 gigabytes (GB) de información interna, la cual incluye bases de datos, documentos de investigación y registros operativos de la fiscalía estatal.

Acciones oficiales en Guanajuato tras la filtración de datos en la web

En su posicionamiento, la institución señaló que el Ministerio Público agotará todas las líneas de investigación para identificar el origen del ataque y evaluar el impacto real en la infraestructura digital.

Sobre esa línea, el documento establece que se actuará “sin escatimar esfuerzos técnicos, físicos, forenses, tecnológicos o de cualquier otra índole, hasta esclarecer plenamente los hechos”.

Además, confirmó un conjunto de acciones inmediatas orientadas a contener y analizar la intrusión:

• Análisis técnico y forense de infraestructura, sistemas y bases de datos “para determinar con precisión el origen, la naturaleza y el alcance del incidente”.
• Aislamiento y desconexión inmediata de equipos afectados y revisión de accesos privilegiados como parte de los “protocolos de contención, aislamiento y mitigación”.
• Apertura de la carpeta de investigación, vigente desde el momento en que “un grupo intentó adjudicarse el ataque y se aseguraron los entornos comprometidos”.
• Notificación a autoridades competentes en materia de ciberseguridad, con el objetivo de garantizar una revisión “independiente, especializada y con plena trazabilidad”.
• Refuerzo temporal de controles internos y fortalecimiento de mecanismos de protección de información sensible.

La fiscalía reiteró que estas medidas forman parte de un proceso de recuperación progresiva luego de que sus plataformas digitales permanecieran fuera de operación desde el ocho de noviembre.

Garantías sobre protección de información y evaluación del daño

En su comunicado, la institución afirmó que la ciudadanía puede tener certeza de que su información personal no se encuentra en riesgo. Según el análisis forense preliminar, “el porcentaje de los equipos vulnerados fue del uno punto siete por ciento del total de la infraestructura en este rubro”.

Finalmente, agregó que “los servicios continúan brindándose” y que cualquier información adicional se difundirá conforme avance el restablecimiento pleno, pero siempre bajo criterios de rigor técnico y legal.

El despliegue del ciberataque y la primera respuesta de Tekir APT

El posicionamiento institucional ocurre después de que “Tekir APT ”difundiera su primer bloque de archivos robados. El grupo aseguró haber extraído más de 250 GB de información —incluyendo expedientes penales, bases de datos completas y documentos clasificados— y comenzó su liberación luego de que presuntamente no se cumpliera la fecha límite del veinte de noviembre que fijaron para negociar.

Mientras tanto, la fiscalía sostiene que la investigación seguirá todas las vías necesarias: “La información que se ha mostrado o circula públicamente ya fue restablecida”, señalaron, subrayando que continúan los trabajos de recuperación y diagnóstico técnico.

Fortalecimiento de seguridad digital y continuidad operativa para la justicia de Guanajuato

El principal órgano de justicia de Guanajuato destacó que reforzó temporalmente sus mecanismos internos de protección de datos, implementó monitoreo constante de tráfico inusual y fortaleció los controles sobre información sensible.

La institución concluyó que ofrecerá actualizaciones únicamente cuando sea posible hacerlo “sin comprometer el debido desarrollo de la investigación”, al tiempo que reiteró su compromiso con la seguridad de los sistemas, la protección de datos personales y la continuidad operativa del organismo.

La Fiscalía General del Estado de Guanajuato (FGEG) enfrenta la fase más crítica del ciberataque que mantiene paralizados sus sistemas desde el pasado 8 de noviembre. Este jueves, el grupo internacional de hackers identificado como Tekir APT comenzó a filtrar información confidencial sustraída de los servidores institucionales.

De acuerdo con especialistas en ciberseguridad, el volumen de archivos publicados supera ya los 10 Gigabytes (GB); es decir, apenas una fracción de los más de 250 GB que los atacantes aseguran haber robado.

La filtración fue detectada durante la madrugada en foros de ciberdelincuencia, donde Tekir APT difundió enlaces y capturas de pantalla como “prueba” de acceso. Organizaciones como “Sonora Cibersegura”, el sitio Botcrawl y el periodista especializado Ignacio Gómez Villaseñor verificaron que los archivos corresponden a bases de datos internas de la fiscalía estatal.

Entre la información divulgada se encuentran registros de personas detenidas, bases de datos de vehículos robados, documentos de investigación, comunicaciones internas, así como capturas de cámaras de seguridad recientemente almacenadas, actualizadas hasta octubre de 2025.

También aparecen datos personales de funcionarios como teléfonos, direcciones y credenciales institucionales, lo que incrementa el nivel de riesgo para el personal operativo.

Alto riesgo por hackeo de información

Los especialistas coinciden en que el material filtrado procede de los sistemas de la fiscalía guanajuatense y que el ataque representa uno de los incidentes de ciberseguridad más graves registrados en una institución de procuración de justicia en México.

Según Hackmanac, la consultora internacional que difundió los primeros indicios del ataque, Tekir APT aseguró haber “comprometido y cifrado todos los subdominios”. Además de borrar respaldos y extraer más de 250 GB de archivos, incluidos expedientes judiciales y comunicaciones clasificadas.

Mientras tanto, la Fiscalía General del Estado de Guanajuato mantiene su postura oficial de negar que haya sido víctima de un secuestro de información. Primero atribuyó la caída de sus sistemas a una “revisión preventiva de controles de seguridad”. Posteriormente, habló de “un virus que habría afectado a 60 equipos”.

Sin embargo, empleados de distintas áreas reportan que desde hace casi dos semanas trabajan de forma manual ante la imposibilidad de acceder a las plataformas internas.

Las amenazas de Tekir APT continúan: el primer filtrado en la web

La narrativa oficial contrasta con los mensajes difundidos por Tekir APT. En su último comunicado, el grupo aseguró que se ignoraron sus advertencias, negó la intrusión y rechazó establecer contacto. “Afirmaron que los datos que extrajimos no tenían valor y se negaron a contactarnos”, escribieron en inglés. También acusaron que las autoridades “silenciaron” el incidente.

Como parte de la presión, los atacantes cumplieron su amenaza de comenzar la liberación de información este 20 de noviembre, fecha límite que habían fijado para el pago del presunto rescate.

Según su mensaje, los datos extraídos incluyen “todos los expedientes penales en poder de este órgano de justicia, información detallada sobre la estructura interna, datos personales de funcionarios, grabaciones de cámaras municipales, bases de datos SQL completas y comunicaciones internas”.

Además, difundieron más de 70 GB de antecedentes penales correspondientes a los últimos años. Esto con la advertencia de que aún poseen una cantidad mayor de archivos que no han sido publicados.

Ciberataque en medio del dominio y la violencia del narco en Guanajuato

En entrevista con Proceso, Ignacio Gómez Villaseñor explicó que la filtración es especialmente delicada debido al contexto de violencia en Guanajuato, donde grupos criminales han buscado igualmente acceder a información institucional:

“La información es sumamente sensible; cualquier filtración puede acabar en algo gravísimo”, señaló. También advirtió que el ataque podría tener participación interna, dada la precisión del acceso y el conocimiento de contraseñas débiles.

Sobre ese mismo tenor, recordó que las fiscalías del país llevan varios años enfrentando vulneraciones constantes: San Luis Potosí, Oaxaca, Michoacán, Estado de México, Chihuahua y Nuevo León han sufrido hackeos recientes, este último durante casi diez meses y con la intervención de un funcionario de la misma institución.

En Guanajuato, la magnitud del ataque motivó al secretario de Gobierno estatal, Jorge Jiménez Lona, a exigir públicamente que el fiscal Gerardo Vázquez informe de manera clara lo que está ocurriendo y confirme si la información filtrada corresponde a los sistemas institucionales.