El masivo ciberataque de 2026 que comprometió la seguridad digital de México
El ataque cibernético ocurrido a finales de enero de 2026, que resultó en la filtración de 2.3 terabytes de información sensible de múltiples instituciones públicas y partidos políticos mexicanos, ha dejado al descubierto fallas estructurales profundas en la estrategia nacional de ciberseguridad. Según el análisis detallado de Salles Sainz Grant Thornton, este incidente se desarrolló en un contexto marcado por legislación insuficiente, inversión tecnológica limitada y una alta rotación de proyectos y administraciones que debilitan la protección digital del país.
Las instituciones afectadas y la magnitud del daño
La firma consultora identificó que el hackeo fue atribuido al grupo de ciberdelincuentes conocido como Chronus o Cronus, el cual obtuvo y difundió información de:
- Dependencias federales como el SAT, IMSS, IMSS Bienestar y SEP
- Secretaría de Salud y Gobierno Federal
- Gobiernos estatales y municipales, incluyendo el DIF Sonora
- Partidos políticos, destacando Morena cuyo padrón de afiliados fue expuesto
Posteriormente, la Comisión Nacional de Seguros y Fianzas (CNSF) también reconoció la vulneración de sus sistemas, aunque señaló que la información expuesta era mayoritariamente de carácter público.
Datos sensibles de millones de mexicanos comprometidos
La magnitud real del incidente se conoció cuando el propio grupo atacante publicó información en la deep web correspondiente a entre 36 y 36.5 millones de mexicanos, volumen que equivale exactamente a los 2.3 terabytes de datos sustraídos. La información comprometida incluyó:
- Datos personales completos: nombres, domicilios, CURP, RFC, números de seguridad social
- Información de contacto: teléfonos y correos institucionales
- Datos médicos sensibles y registros de programas sociales
- Bases administrativas completas de diversas dependencias
- El padrón del Sistema de Protección Social en Salud (1.8 terabytes)
- Bases de datos políticas, incluyendo el padrón de Morena con 26,899 militantes
Factores que facilitaron la vulneración
Fidel Delgado, experto en tecnología y ciberseguridad de Salles Sainz Grant Thornton, señaló que la vulneración ocurrió en un momento especialmente sensible para el país, coincidiendo con el inicio del Mundial cuando se incrementa la actividad digital y aparecen sitios y aplicaciones apócrifas. Entre los elementos confirmados que facilitaron el acceso ilícito destacan:
- Uso indebido de usuarios y contraseñas válidas que permanecían activas
- Infraestructura digital obsoleta con más de dos décadas de antigüedad
- Plataformas heredadas administradas por terceros con deficiente mantenimiento
- Aplicación insuficiente de parches de seguridad y supervisión limitada
La ausencia de un informe oficial y las lecciones pendientes
La consultora subrayó que, hasta la fecha, no existe un informe técnico oficial que explique detalladamente cómo se ejecutó la intrusión. La información disponible proviene de declaraciones gubernamentales, publicaciones del grupo Chronus, investigaciones periodísticas y análisis de empresas especializadas.
Para Salles Sainz Grant Thornton, este episodio evidencia que la protección digital en el sector público mexicano ya no puede limitarse a soluciones básicas. El caso apunta a una combinación peligrosa de:
- Credenciales comprometidas y sistemas sin mantenimiento adecuado
- Infraestructura fragmentada y protocolos ineficientes
- Débil cultura de ciberseguridad institucional
La firma concluye que resulta indispensable fortalecer la infraestructura tecnológica, asignar presupuestos específicos, profesionalizar equipos especializados como los centros de operaciones de seguridad y avanzar en marcos legales específicos ante los crecientes compromisos digitales del país. Este incidente masivo sirve como una alerta contundente sobre la vulnerabilidad del ecosistema digital mexicano y la urgente necesidad de transformar la estrategia nacional de ciberseguridad.
