Ciberataques silenciosos revelan debilidades estructurales y errores estratégicos del gobierno

El panorama de la ciberseguridad atraviesa una transformación profunda que obliga a replantear viejas certezas. Las señales estridentes del ransomware, durante años consideradas el síntoma más evidente de una intrusión, han dejado de ser el principal indicador de compromiso. En su lugar, emerge una amenaza menos visible pero más sofisticada: los ciberataques silenciosos. Así lo advierte la unidad de investigación de SILIKN, cuyo análisis documenta un viraje estratégico de los actores maliciosos hacia esquemas de infiltración prolongada, evasión de detección y abuso de identidades legítimas.

Este cambio explica buena parte de los incidentes que han afectado a dependencias del gobierno mexicano en las primeras semanas de 2026 y anticipa que la tendencia persistirá durante el resto del año. A diferencia de los ataques disruptivos que paralizan sistemas de forma inmediata, la nueva lógica privilegia la permanencia encubierta. El objetivo ya no es generar un impacto visible que detone alarmas, sino mantener acceso dentro de los entornos institucionales el mayor tiempo posible sin ser detectado.

En múltiples casos recientes, dependencias que parecían enfrentar intrusiones repentinas descubrieron que el compromiso había comenzado meses atrás; lo que finalmente salió a la luz no fue el inicio del ataque, sino las consecuencias acumuladas de no haberlo identificado ni contenido oportunamente.

De acuerdo con el análisis de la unidad de investigación de SILIKN, nueve de cada diez técnicas predominantes se enfocan en evadir controles de seguridad, sostener mecanismos de persistencia o ejecutar comandos de forma discreta, en lugar de provocar interrupciones inmediatas.

El éxito de estas operaciones descansa en una debilidad crítica: aunque las dependencias gubernamentales llegan a registrar actividad sospechosa, sólo una fracción de esos eventos se traduce en alertas accionables. Esta brecha — descrita como una zona de invisibilidad — permite que los intrusos operen dentro de las redes sin activar respuestas defensivas efectivas.

Uno de los hallazgos más inquietantes es el papel central de las credenciales legítimas. Ocho de cada diez ataques comienzan mediante cuentas válidas, ya sea por robo, filtración o reutilización de contraseñas. Técnicas tradicionales, como la extracción de contraseñas almacenadas en equipos comprometidos, mantienen alta efectividad, mientras que los intentos más notorios de volcado masivo han disminuido precisamente para reducir la probabilidad de detección.

Pruebas defensivas recientes muestran que la explotación de cuentas legítimas tuvo éxito en hasta el 98.5 % de los entornos evaluados, un dato que refleja la enorme dificultad de contener a un adversario que actúa bajo una identidad aparentemente confiable.

Aunque las operaciones de cifrado han caído aproximadamente 24.2 % interanual, los especialistas advierten que el riesgo no se ha reducido. La disminución del ransomware no implica un entorno más seguro, sino un cambio de modelo: de la interrupción visible al robo silencioso y sostenido de información. Servicios en la nube, APIs legítimas y canales confiables se han convertido en rutas discretas de exfiltración, lo que complica la detección mediante herramientas tradicionales.

En paralelo, se observa un incremento de malware diseñado para evadir entornos de análisis. Algunas variantes, como muestras de infostealers del tipo LummaC2, analizan patrones de interacción humana —por ejemplo, movimientos del cursor— antes de activar su carga útil, una técnica que ya figura entre las más frecuentes y que supera con relativa facilidad a defensas convencionales.

Pese a la creciente preocupación pública, la unidad de investigación de SILIKN matiza que el uso de inteligencia artificial como motor autónomo de ataque aún no representa un cambio disruptivo en la mayoría de las intrusiones documentadas. Si bien se han identificado amenazas que interactúan con APIs de modelos de lenguaje, no se observan capacidades adaptativas decisivas en campo que alteren de forma radical la dinámica de los ataques.

En este contexto, a finales de enero México enfrentó uno de los episodios de seguridad informática más severos de su historia reciente. Un grupo de cibercriminales vulneró al menos 25 instituciones federales, estatales, municipales y educativas. Los estudios de la unidad de investigación de SILIKN indican que los atacantes no desplegaron ransomware ni cifraron sistemas. En su lugar, accedieron mediante credenciales válidas a plataformas obsoletas administradas por terceros y extrajeron 2.3 terabytes de datos, posteriormente filtrados en la dark web. Las estimaciones apuntan a la exposición de información personal y sensible de entre 36 y 36.5 millones de mexicanos, cerca del 28 % de la población nacional.

Entre las entidades afectadas se mencionan organismos federales como el SAT, IMSS, IMSS-Bienestar, SEP, Secretaría de Salud, CNSF y Conagua; padrones estatales y municipales de la Ciudad de México, Estado de México, Nuevo León y DIF Sonora, además de universidades tecnológicas, fiscalías locales, defensorías públicas y registros vinculados a partidos políticos. Los datos comprometidos incluyen CURP, RFC, NSS, domicilios, teléfonos, correos electrónicos, historiales médicos, expedientes judiciales y registros académicos, entre otros.

La Agencia de Transformación Digital y Telecomunicaciones reconoció el incidente, aunque subrayó que la infraestructura central federal no fue vulnerada y que las credenciales implicadas fueron inhabilitadas. Paralelamente, la Secretaría Anticorrupción y Buen Gobierno inició una investigación de oficio. Sin embargo, hasta ahora no se han informado avances sustanciales ni resultados concretos, lo que ha alimentado cuestionamientos sobre la transparencia y el seguimiento del caso.

Para la unidad de investigación de SILIKN, el episodio refleja debilidades estructurales persistentes: sistemas heredados sin actualizaciones durante más de dos décadas, ausencia de autenticación multifactor robusta, dependencia de proveedores externos con supervisión limitada y prácticas extendidas de reutilización de contraseñas débiles. Más que un evento aislado, se trata de la consecuencia acumulada de años de rezago en ciberseguridad pública.

La preocupación se amplifica al considerar que, además del mega-incidente de enero, en las primeras semanas de 2026 se han registrado ataques de ransomware atribuidos a LockBit contra la Sociedad Hipotecaria Federal; intrusiones y amenazas de filtración del grupo Tengu contra la Junta Local de Conciliación y Arbitraje de la Ciudad de México; un incidente en la CNSF que expuso cédulas profesionales del sector asegurador, y la filtración de más de mil credenciales vinculadas al dominio gob.mx. Aunque no existe un conteo oficial consolidado, la unidad de investigación de SILIKN estima que entre 25 y 45 entidades han sido impactadas de manera significativa en apenas mes y medio.

Asimismo, el riesgo no concluye con la intrusión inicial. El uso posterior de la información sustraída puede derivar en fraudes masivos, suplantación de identidad, extorsiones y campañas de ingeniería social. Por ello, se recomienda a la ciudadanía verificar la posible exposición de sus cuentas en servicios especializados, cambiar contraseñas, evitar su reutilización, activar la autenticación de dos factores y extremar precauciones ante comunicaciones sospechosas.

En un entorno donde el sigilo se ha convertido en el principal aliado de los atacantes, la advertencia es contundente: esperar señales evidentes ya no es una estrategia viable. La resiliencia cibernética exige validación continua de controles, pruebas y simulacros de ataque realistas y monitoreo enfocado en comportamiento.

Mientras las investigaciones permanecen abiertas y emergen nuevos detalles, 2026 perfila un escenario en el que los ciberataques silenciosos no solo dominan la estadística global, sino que se consolidan como la amenaza más compleja para las instituciones públicas mexicanas.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro | Líder del Capítulo Querétaro de OWASP | NIST Cybersecurity Framework 2.0 Certified Expert (CSFE) | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst.

X:https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599

** Las expresiones emitidas en esta columna son responsabilidad de quien las escribe y no necesariamente coinciden con la línea editorial de Infobae México, respetando la libertad de expresión de expertos.