Ataque mortal a colaboradores de la jefa de Gobierno: cómo el uso malicioso de la tecnología facilita crímenes coordinados y las claves para prevenirlos

El martes 20 de mayo de 2025 se informó sobre el fallecimiento de Ximena Guzmán, secretaria particular de la jefa de Gobierno de la Ciudad de México, y de José Muñoz, asesor cercano de la misma mandataria. Ambos colaboradores de confianza de Clara Brugada perdieron la vida tras ser víctimas de un ataque directo ocurrido en una de las avenidas más concurridas de la capital.

Aunque al momento de la redacción de este artículo las investigaciones siguen abiertas, expertos en seguridad han advertido que la gravedad del ataque, la forma en que fue perpetrado y el perfil institucional de las víctimas han generado una fuerte preocupación, pues si bien las autoridades no han confirmado la participación del crimen organizado, especialistas coinciden en que el caso presenta elementos característicos de este tipo de violencia.

Se ha enfatizado que la forma en que actuaron los agresores —incluyendo su conocimiento preciso de las rutinas de las víctimas, la espera en un sitio previamente seleccionado y la planificación de una ruta de escape— revela una acción cuidadosamente orquestada. En este sentido, la unidad de investigación de SILIKN considera relevante señalar que los responsables podrían haberse apoyado en técnicas, tácticas, procedimientos y herramientas tecnológicas asociadas al cibercrimen para ejecutar el doble homicidio.

¿Qué recursos pudieron haberse empleado en este tipo de crimen y cuya identificación ayude a comprender mejor su ejecución, con el fin de diseñar estrategias más eficaces de prevención? Es importante analizar cómo el uso malicioso de la tecnología puede facilitar este tipo de ataques, al incorporar herramientas digitales y técnicas de vigilancia que, al combinarse con métodos tradicionales, permiten llevar a cabo acciones criminales de manera coordinada y precisa.

El cibercrimen abarca actividades delictivas que utilizan tecnologías digitales para planear, ejecutar o encubrir crímenes. En este caso, aunque el acto final fue un asesinato, los agresores podrían haber empleado herramientas tecnológicas para recopilar información, coordinarse y evadir la detección. Algunas formas en las que técnicas cibercriminales podrían estar involucradas incluyen:

- Obtención de información mediante redes sociales: Al tratarse de figuras públicas, es probable que los funcionarios tuvieran perfiles activos en plataformas como X o LinkedIn. Los atacantes pudieron haber recolectado datos sobre sus rutinas, ubicaciones frecuentes o redes de contacto a partir de publicaciones, funciones de geolocalización o interacciones en línea. Por ejemplo, si Ximena o José compartían detalles sobre reuniones en la Calzada de Tlalpan, esta información habría podido ser utilizada por los agresores para organizar una vigilancia previa y planificar el ataque.

- Intervención de dispositivos o comunicaciones: En caso de que los atacantes hayan logrado vulnerar los teléfonos, correos electrónicos o aplicaciones de mensajería de las víctimas —por medio de técnicas como phishing o la instalación de malware—, habrían tenido acceso a información detallada sobre sus desplazamientos. El hecho de que existiera una rutina definida para recoger a José Muñoz en un punto específico indica que los agresores posiblemente conocían con precisión los horarios, lo cual podría haber sido resultado de la interceptación de comunicaciones o del rastreo de dispositivos móviles.

- Empleo de herramientas de geolocalización: Los delincuentes podrían haber recurrido a dispositivos GPS o aplicaciones de rastreo instaladas en los vehículos o teléfonos de las víctimas. Incluso sin acceso directo a los dispositivos, técnicas como la suplantación de señal GPS (spoofing) o el uso de aplicaciones vulnerables podrían haberles permitido seguir sus movimientos en tiempo real.

- Coordinación a través de la dark web o plataformas encriptadas: La organización del ataque, que involucró a cuatro personas y varios vehículos, indica una logística compleja y bien planificada. Es probable que los agresores hayan utilizado plataformas encriptadas como Telegram o foros en la dark web para comunicarse y coordinar sus acciones, evitando así dejar rastros fácilmente detectables por las autoridades.

- Interferencia en sistemas de seguridad: Aunque las cámaras del C5 terminaron funcionando, los reportes iniciales sobre fallas podrían señalar un posible intento de sabotaje digital, como un ataque de denegación de servicio (DDoS) o la manipulación de las cámaras de vigilancia. Esto habría permitido a los agresores operar sin ser detectados en tiempo real, aprovechando esa ventana de vulnerabilidad.

El uso malintencionado de la tecnología puede aumentar significativamente la efectividad de un ataque físico como el mencionado. En este contexto, es probable que los siguientes recursos tecnológicos hayan sido determinantes:

- Monitoreo previo utilizando tecnología: La presencia de una persona observando el lugar varios días antes del ataque indica que los agresores realizaron un estudio detallado de las rutinas de las víctimas. Este seguimiento pudo haberse reforzado con el uso de herramientas tecnológicas, como drones pequeños para grabar movimientos, cámaras ocultas o aplicaciones de mapas para analizar rutas y puntos de encuentro. Por ejemplo, el lugar específico donde Ximena recogía a José (en la esquina de Calzada de Tlalpan y calle Napoleón) era un punto previsible, lo que facilitó la organización del ataque.

- Aprovechamiento de vulnerabilidades digitales: En caso de que los agresores hayan tenido acceso a los dispositivos de las víctimas, podrían haber utilizado software espía para rastrear llamadas, mensajes o ubicaciones en tiempo real. Esto explicaría su conocimiento exacto del momento oportuno para llevar a cabo un ataque rápido y preciso, como el que se registró con diez disparos en cuestión de segundos.

- Empleo de vehículos robados y tecnología para ocultar evidencias: Los vehículos utilizados en el ataque —una motocicleta, un automóvil azul y una camioneta gris— contaban con placas de otros estados o tenían reportes de robo, lo que sugiere que los agresores manipularon registros oficiales o accedieron a bases de datos vulneradas para obtener vehículos difíciles de rastrear. Asimismo, el uso de guantes y la ausencia de huellas dactilares revelan un conocimiento avanzado en técnicas forenses, posiblemente combinado con el uso de herramientas digitales para evitar dejar evidencia electrónica.

- Coordinación en tiempo real: La intervención de cuatro individuos y múltiples vehículos sugiere una comunicación constante y efectiva durante el ataque. Es probable que los agresores utilizaran radios encriptadas, aplicaciones de mensajería segura o incluso teléfonos desechables (“burner phones”) para sincronizar la ejecución y la fuga, reduciendo así la posibilidad de ser detectados o interceptados por las autoridades.

- Desinformación y manipulación narrativa: Después del ataque, la difusión en redes sociales de un video que muestra al agresor disparando podría haber sido una estrategia intencional para sembrar miedo o distraer a la opinión pública. Esto indica que los responsables posiblemente cuentan con habilidades para manejar y manipular medios digitales, con el fin de maximizar el impacto y la repercusión del crimen.

En este sentido, la ciberseguridad juega un papel fundamental en la prevención y reducción de riesgos derivados del uso indebido de la tecnología, especialmente cuando se trata de funcionarios públicos, que son blancos fácilmente identificables. Este incidente pone de manifiesto diversas implicaciones importantes para el ámbito de la ciberseguridad:

- Resguardo de datos personales: Los funcionarios deben adoptar medidas sólidas para salvaguardar tanto su información personal como profesional. Esto implica el uso de contraseñas seguras, la implementación de autenticación de dos factores y la cautela al compartir información sensible en redes sociales. En este caso, la ausencia de escoltas y el uso de un vehículo sin blindaje reflejan que las víctimas no previeron posibles riesgos, situación que podría haberse evitado con una gestión más cuidadosa de su presencia digital.

- Protección de dispositivos y comunicaciones: Los teléfonos y computadoras de los funcionarios constituyen blancos prioritarios para los ciberdelincuentes. La implementación de medidas como el cifrado de extremo a extremo, la actualización constante de software y el uso de sistemas de detección de malware podrían haber complicado el acceso de los atacantes a información sensible, como horarios o ubicaciones.

- Supervisión de sistemas de vigilancia: La aparente falla inicial en las cámaras del C5 pone de relieve la importancia de contar con sistemas de ciberseguridad sólidos para resguardar la infraestructura de vigilancia urbana. Las autoridades deben reforzar la protección mediante firewalls, sistemas de detección de intrusos y auditorías periódicas, con el fin de impedir que los delincuentes manipulen o deshabiliten cámaras y otros dispositivos de seguridad.

- Formación en ciberseguridad: Es fundamental que los funcionarios y sus equipos reciban capacitación sobre amenazas como el phishing, el doxing (divulgación de información privada) y el seguimiento digital. En este caso, si los atacantes accedieron a información mediante técnicas digitales, una mayor conciencia y preparación frente a estas amenazas podría haber disminuido su exposición y vulnerabilidad.

- Atención y respuesta a incidentes cibernéticos: Es indispensable que las autoridades fortalezcan sus capacidades para reaccionar ante posibles ciberataques vinculados a delitos físicos. Esto implica monitorear comunicaciones encriptadas, analizar metadatos de dispositivos incautados (como los vehículos asegurados) y trabajar en conjunto con especialistas en ciberseguridad para detectar patrones asociados al cibercrimen.

- Defensa contra el crimen organizado digital: La posible implicación de grupos como La Unión Tepito o el Cártel Jalisco Nueva Generación, mencionada en este caso, evidencia que el crimen organizado está cada vez más vinculado al cibercrimen. Estos grupos recurren a hackers para obtener información, planificar ataques o realizar lavado de dinero de forma digital, lo que demanda una estrategia de ciberseguridad más contundente y proactiva por parte de las autoridades.

Las técnicas cibercriminales pudieron haber jugado un papel crucial en la vigilancia y ejecución del ataque al proporcionar a los agresores información precisa sobre las víctimas, facilitar la coordinación y encubrir sus acciones. La ciberseguridad es esencial para proteger a funcionarios públicos, asegurando que sus dispositivos, comunicaciones y datos estén resguardados contra accesos no autorizados.

No hay marcha atrás. Se necesita urgentemente integrar la ciberseguridad en las estrategias de protección física, especialmente en un contexto donde el crimen organizado combina técnicas tradicionales con herramientas tecnológicas avanzadas. Para prevenir incidentes similares, las autoridades y los funcionarios deben priorizar la protección de su huella digital, fortalecer los sistemas de vigilancia urbana y capacitar al personal en amenazas cibernéticas.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599