¿El gobierno mexicano está siendo hackeado por sus propios empleados?
Imagen: AndrejZT | https://www.deviantart.com/andrejzt
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
En un escenario donde México enfrenta más de 324 mil millones de intentos de ciberataques al año, el gobierno federal y sus dependencias se han convertido en blancos prioritarios, con un incremento proyectado del 260% en ataques a entidades públicas para 2025. Sin embargo, la amenaza más inquietante no proviene de los hackers externos, sino de los llamados insiders: empleados activos, excolaboradores con credenciales no revocadas o personal negligente, involucrados en alrededor del 70% de las brechas de seguridad, filtraciones de datos y ciberataques registrados en instituciones gubernamentales.
Este fenómeno refleja una vulnerabilidad estructural. A nivel global, el 68% de las brechas están relacionadas con el factor humano, y México no es la excepción. En el país, el 60% de las violaciones de datos en organizaciones públicas y privadas tienen su origen en errores humanos — clics en correos de phishing, reutilización de contraseñas o intercambio de credenciales — , mientras que el 22% involucra directamente a colaboradores internos. En el sector gubernamental, la tendencia es más crítica: el 63% de las instituciones mexicanas sufrió al menos un incidente en 2024, concentrándose los casos más graves en los sectores gubernamental, de salud y financiero, que acumulan el 70% de los eventos más severos.
Casos recientes lo confirman. En enero de 2025, el gobierno de Pachuca, Hidalgo, sufrió la filtración de más de 100 archivos sensibles de su área de sistemas, con información actualizada hasta el día del ataque, lo que apunta a la participación de un insider activo. La Sedena, por su parte, fue víctima en 2022 del conocido Guacamaya Leaks, que expuso 6 terabytes de datos confidenciales — entre ellos reportes médicos presidenciales y contratos militares — , resultado de servidores sin actualizar y credenciales persistentes. En 2019, el ISSSTE dejó al descubierto datos médicos de millones de derechohabientes debido a fallos en sus protocolos internos, y en octubre de 2025, presuntos hackers afirmaron haber accedido a la red del INE, poniendo en riesgo el padrón electoral, mientras el instituto negó una brecha activa pero reconoció intrusiones no resueltas.
En lo que va de 2025, ocho filtraciones masivas han afectado a millones de ciudadanos, desde la SEP, que expuso datos de 5 mil estudiantes, hasta la Consejería Jurídica Federal, con 300 GB de información confidencial comprometida. Estos episodios no son aislados: evidencian deficiencias normativas, técnicas y culturales en la gestión de la ciberseguridad. Aunque México cuenta con leyes como la Ley Federal de Protección de Datos Personales, su aplicación es limitada. Solo el 12% de las organizaciones públicas y privadas están preparadas para enfrentar amenazas internas. La falta de revocación de credenciales de excolaboradores, presente en la mitad de las filtraciones, y la escasa capacitación en concientización — el phishing origina el 70% de los accesos iniciales — son factores que amplifican el riesgo.
Mientras el gobierno continúa haciendo pequeñas inversiones en infraestructura perimetral, ignora que el 95% de los ciberataques a nivel mundial inician con ingeniería social, explotando el eslabón más débil: las personas. Según la unidad de investigación de SILIKN, durante el primer trimestre de 2025 se registraron más de 35,200 millones de intentos de ataque en el país, afectando principalmente al sector gubernamental, junto con el manufacturero y financiero.
El año ha estado marcado por una serie de incidentes en los que empleados, excolaboradores con accesos activos y personal negligente han estado implicados en casi el 70% de las brechas y ciberataques que afectaron a instituciones gubernamentales. En enero, el teléfono y correo personal de la presidenta Claudia Sheinbaum fueron comprometidos mediante un posible ataque de phishing o malware. En febrero, un ataque — presumiblemente de tipo DDoS — interrumpió la transmisión en vivo de la Cumbre Latinoamericana de Defensoras Digitales. En marzo, una brecha en el Registro Civil (SIDEA-RENAPO) filtró millones de actas de nacimiento y defunción en la dark web, alcanzando incluso correos de alto nivel. Poco después, el ataque conocido como Infierno Leaks reveló 701 GB de información de más de 1,500 entidades públicas y privadas, incluyendo datos fiscales y electorales vinculados al CJNG.
En abril, el grupo Devman paralizó los servicios del gobierno de Colima mediante un ataque de ransomware. Entre abril y mayo, los grupos Drakonov y c4t comprometieron al menos diez gobiernos estatales y municipales, entre ellos los de CDMX, Estado de México, Michoacán, Puebla, Quintana Roo y Baja California Sur, mediante la explotación de software obsoleto. En mayo, vulnerabilidades críticas en Windows Server (CVE-2025–21418 y CVE-2025–21376) fueron aprovechadas para ejecutar código remoto en dependencias federales, y una campaña de phishing a través de anuncios falsos en Google Ads afectó a más de 17 instituciones, exponiendo unos 6,000 servidores.
Para septiembre y octubre, México se había convertido en el segundo país más afectado por ransomware en América Latina, con un incremento del 165% respecto a 2024, destacando los ataques a fiscalías estatales y nuevos accesos indebidos a correos presidenciales.
Los costos globales por ciberataques podrían alcanzar los 10.5 billones de dólares este año. Frente a este panorama, la unidad de investigación de SILIKN advierte que México necesita una reforma integral de ciberseguridad, con la adopción de políticas de Zero Trust, auditorías obligatorias de credenciales inactivas y programas masivos de capacitación que reduzcan el error humano, responsable del 60% de los incidentes.
Con más de 40,600 millones de intentos de ataque registrados solo en el primer semestre de 2025, México enfrenta una crisis silenciosa donde los principales riesgos no provienen del exterior, sino de sus propios sistemas y operadores. La verdadera batalla cibernética del país no se libra contra enemigos invisibles, sino dentro de las propias oficinas gubernamentales. La pregunta que queda en el aire es contundente: ¿cuántas brechas más serán necesarias para actuar?
Para más información, visite: https://www.silikn.com/