El riesgo no es tecnológico, es administrativo: La falta de inventarios y el reciclaje de contraseñas exponen datos críticos de ciudadanos y funcionarios.
El sector público en México enfrenta un inicio de año crítico. Lejos de ser víctimas de ataques cibernéticos “de película”, la vulnerabilidad del Estado radica en su propia inercia: sistemas viejos que nadie apagó, servicios tercerizados sin supervisión y una gestión de identidades tan débil que permite el robo masivo de información con herramientas básicas.
Los “Puntos Ciegos” del Estado Digital
De acuerdo con la Agencia de Transformación Digital y Telecomunicaciones (ATDT) y analistas independientes, el daño actual se concentra en la periferia de la infraestructura gubernamental:
-
Sistemas Heredados (Legacy): Aplicaciones obsoletas que siguen activas por falta de un cierre formal durante los cambios de administración.
-
Operación Tercerizada: Entidades federativas que delegan su tecnología a privados sin protocolos de seguridad estandarizados.
-
Recursos Abiertos: En muchos casos, los atacantes no explotan vulnerabilidades; simplemente encuentran directorios abiertos y descargan archivos en bloque.
Incidentes de Alto Impacto (Enero – Febrero 2026)
| Institución | Tipo de Incidente | Impacto Detallado |
| CNSF | Hackeo / Filtración | Exposición de cédulas de 90,000 agentes (CURP, RFC, fotos). |
| Sociedad Hipotecaria (SHF) | Ransomware (LockBit) | Secuestro y filtración de 277 GB de datos de créditos hipotecarios. |
| gob.mx | Credenciales Comprometidas | 506 accesos expuestos vinculados a malware tipo infostealer. |
El “Eslabón Débil”: La Identidad
Un análisis de Hudson Rock reveló que la mayoría de las filtraciones en gob.mx provienen de infecciones en dispositivos personales de usuarios y empleados. El problema escala debido al inicio de sesión único (SSO): una sola contraseña robada permite al atacante brincar entre múltiples trámites, desde participación ciudadana hasta rutas administrativas.
“Nunca se preocupan por apagar los sistemas. Cuando hay un cambio, nadie tiene un listado de activos que diga ‘tenemos 200 sistemas y aquí están para que los cuides'”, advierte Hiram Camarillo, analista de seguridad.
De la Documentación a la Ejecución
Expertos como Pablo Corona sugieren que la solución no es crear más leyes, sino ejecutar capacidades básicas:
-
Inventario de Activos: Saber exactamente qué sistemas están prendidos.
-
Higiene de Contraseñas: Eliminar la reutilización de claves entre lo personal y lo laboral.
-
Adopción de Estándares: Implementar normas internacionales como ISO 27001 (Seguridad) e ISO 29147 (Divulgación de vulnerabilidades).
