El arranque de 2026 no solo trajo consigo nuevas metas administrativas y presupuestales. También exhibió, con una claridad incómoda, la vulnerabilidad de la infraestructura digital del sector público mexicano. Lejos de tratarse de episodios aislados, los incidentes recientes configuran un patrón preocupante: fallas estructurales, deficiencias de gestión y una cultura institucional que aún no asume plenamente la dimensión del riesgo cibernético.
Un análisis de la unidad de investigación de SILIKN sobre los eventos registrados durante el primer mes del año apunta hacia una realidad menos espectacular, pero más alarmante. Las brechas no necesariamente obedecen a sofisticadas técnicas de intrusión, sino a errores básicos y persistentes: sistemas heredados mal desactivados, accesos olvidados, controles débiles de identidad y prácticas tan extendidas como la reutilización de contraseñas. En demasiados casos, los atacantes no necesitan explotar vulnerabilidades complejas; basta con encontrar directorios abiertos y credenciales válidas para extraer grandes volúmenes de información.
Este enfoque austero —casi rudimentario— ha demostrado ser devastador. La unidad de investigación de SILIKN identificó 1,012 credenciales comprometidas asociadas al dominio gubernamental gob.mx. La mayoría de los casos se vincula con infecciones por malware tipo infostealer y el uso de contraseñas débiles o repetidas. El dato revela una verdad incómoda: la protección del acceso sigue siendo el eslabón más frágil en la cadena de defensa digital del Estado.
Las consecuencias ya rebasaron el terreno técnico. La Comisión Nacional de Seguros y Fianzas (CNSF) confirmó un incidente que expuso datos personales —nombre, CURP, RFC e incluso fotografías— de miles de intermediarios. El impacto potencial no es menor: la filtración de esta información abre la puerta a suplantaciones de identidad, fraudes y riesgos reputacionales en un sector altamente sensible.
En paralelo, un ataque atribuido al grupo de ransomware LockBit contra la Sociedad Hipotecaria Federal (SHF) derivó en la publicación de cientos de gigabytes de información, incluidos datos relacionados con créditos hipotecarios. Más allá del volumen de archivos comprometidos, el episodio revive preguntas incómodas sobre la capacidad de respuesta, la segmentación de redes y la protección de información financiera estratégica.
A este panorama se añade otro episodio relevante. Durante la segunda semana de febrero de 2026, el grupo cibercriminal de ransomware Tengu incluyó a la Junta de Conciliación y Arbitraje en su portal de víctimas. Al cierre de esta edición, los atacantes habían fijado un ultimátum de menos de siete días, tras el cual amenazan con divulgar públicamente documentación confidencial.
Pero el problema trasciende cada caso. La sucesión de brechas plantea un desafío sistémico: la continuidad de los servicios públicos, la confianza ciudadana en las plataformas digitales gubernamentales y la protección de datos personales están siendo puestos a prueba —hasta ahora, con resultados poco alentadores— en un contexto donde la digitalización avanza más rápido que los mecanismos de protección.
La unidad de investigación de SILIKN advierte deficiencias estructurales recurrentes. Persisten sistemas obsoletos que operan por simple “inercia administrativa” y, en ocasiones, sin inventarios formales ni procesos claros de actualización o retiro. A ello se suma la operación tercerizada en diversas entidades federativas, donde los estándares y protocolos de seguridad suelen ser desiguales, fragmentados o directamente inexistentes.
El uso extendido de esquemas de Single Sign-On (SSO) añade otra capa de riesgo. Diseñado para simplificar la experiencia del usuario, el SSO puede convertirse en un vector crítico de exposición: una sola credencial comprometida puede abrir la puerta a múltiples sistemas estratégicos si no existen controles adicionales como autenticación multifactor robusta, segmentación y monitoreo continuo.
Conviene subrayar que, entre 2018 y 2026, México ha sido objetivo de múltiples actores maliciosos. Entre ellos se incluyen grupos de ransomware como CL0P, Qilin y Kazu; operaciones asociadas con infostealers y brokers de acceso inicial, como TA558; así como campañas de amenazas persistentes avanzadas (APT) atribuidas a Blind Eagle, UNC6619, Lazarus Group, Kimsuky, APT28, APT29, Mustang Panda, APT17, Salt Typhoon, Flax Typhoon, Sandworm, APT42, APT33, APT34 y APT39. También se han documentado actividades de grupos criminales como CyberCartel, Fenix, Manipulated Caiman, Chronus, Guacamaya, Bandidos Revolution Team y Mexican Mafia, además de acciones vinculadas al Cártel Jalisco Nueva Generación (CJNG) y al cártel de Sinaloa en el ámbito del cibercrimen organizado.
De este panorama se desprenden, principalmente, dos problemáticas. En primer lugar, los ciberatacantes están logrando un entendimiento cada vez más profundo de la estructura y configuración de la infraestructura gubernamental: qué redes interconectan a las dependencias, qué archivos contienen información sensible, qué hardware, software y servicios tecnológicos se utilizan —y cuán actualizados y protegidos se encuentran—, quiénes conforman las instituciones, cuáles son sus credenciales y métodos de acceso, así como los permisos y restricciones vigentes.
En segundo lugar, esta información circula entre grupos delictivos, que difunden de manera continua la existencia de objetivos de alto valor. Como resultado, los datos se rentan, intercambian o comercializan, lo que facilita nuevas intrusiones al explotar fallas y vulnerabilidades existentes. Estas brechas no siempre responden a técnicas avanzadas, sino con frecuencia a errores básicos y persistentes: deficiencias que no se corrigen ni se supervisan adecuadamente, falta de monitoreo continuo y, en términos generales, la ausencia de un plan institucional sólido de ciberseguridad, sustentado en mejores prácticas, protocolos y procedimientos efectivos.
La conclusión de la unidad de investigación de SILIKN es tajante: no basta con legislar. La ciberseguridad efectiva requiere capacitación permanente, monitoreo constante y una estrategia de mejora continua alineada con estándares internacionales como NIST o ISO 27001, además de marcos específicos de gestión de vulnerabilidades como ISO 29147. Sin embargo, la distancia entre la norma y la práctica sigue siendo amplia. Los lineamientos pueden existir en documentos oficiales, pero su implementación operativa ha mostrado grietas persistentes, con una tendencia institucional a prometer avances más que a consolidar controles técnicos verificables.
Lo ocurrido en las primeras semanas de 2026 obliga a replantear la estrategia nacional frente a los ciberataques. El reto no se limita a contener amenazas altamente sofisticadas; pasa, sobre todo, por cerrar las brechas cotidianas que permiten a los atacantes operar con alarmante facilidad. El sector público enfrenta así un doble desafío: reforzar su infraestructura tecnológica y transformar una cultura organizacional que todavía subestima —o minimiza— la gravedad de los riesgos digitales.
Porque en la era de la administración electrónica, cada contraseña débil, cada sistema olvidado y cada protocolo incumplido ya no son simples descuidos técnicos. Son potenciales puntos de quiebre para la seguridad, la economía y la confianza pública.
* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.
X:https://x.com/victor_ruiz
Instagram:https://www.instagram.com/silikn
YouTube:https://www.youtube.com/@silikn7599
** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.