¿Quién es Tekir APT? El supuesto grupo cibercriminal detrás del “hackeo” a la Fiscalía de Guanajuato que nadie conoce
Imagen: Ksottam | https://www.deviantart.com/ksottam
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst y líder del Capítulo Querétaro de la Fundación OWASP.
El 11 de noviembre de 2025, un grupo que se hace llamar Tekir APT afirmó haber perpetrado un ciberataque masivo contra la Fiscalía General del Estado de Guanajuato (FGEG). “Tekir” significa “atigrado” o “con rayas de tigre” en turco, un nombre que, más allá de su curiosidad lingüística, no ofrece ninguna pista sobre la identidad o el origen de quienes estarían detrás del supuesto grupo delictivo Tekir APT. Según publicaciones en la dark web y redes sociales, los atacantes habrían cifrado los sistemas de la institución y extraído cerca de 250 gigabytes de información sensible, incluyendo expedientes judiciales, identificaciones personales y bases de datos confidenciales.
El incidente, de acuerdo con esas versiones, habría paralizado temporalmente las operaciones de la fiscalía desde el 8 de noviembre, forzando a los empleados a trabajar de forma manual y retrasando servicios básicos como la recepción de denuncias. Los presuntos responsables amenazaron con divulgar toda la información el 20 de noviembre si no se efectuaba el pago de un rescate.
Hasta aquí, la historia suena como un típico episodio de ransomware. Sin embargo, al examinar los hechos más de cerca, surgen demasiadas inconsistencias.
La narrativa que se repite sin verificarse
Medios digitales y algunas plataformas de inteligencia artificial comenzaron a replicar la versión inicial difundida por una sola fuente: Hackmanac, una empresa internacional dedicada al monitoreo de ciberamenazas. En su cuenta de X (@H4ckmanac) y en su portal especializado, la firma aseguró haber tenido acceso a “evidencias” del ataque, entre ellas capturas de pantalla sin censura y un enlace onion — accesible sólo en la dark web — que supuestamente mostraba la información comprometida.
Sin embargo, Hackmanac también informó que esos detalles sólo estaban disponibles para sus suscriptores, es decir, para quienes pagaran por acceder a su servicio Hackrisk.io. Ninguna otra compañía especializada ha podido confirmar de manera independiente la existencia del grupo Tekir APT o del supuesto ataque.
En este sentido, la unidad de investigación de SILIKN analizó organizaciones de referencia mundial en ciberinteligencia como MITRE ATT&CK®, CrowdStrike, Recorded Future, IBM Security (X-Force), Palo Alto Networks (Unit 42), Mandiant (Google Cloud), Sophos, Trend Micro, Flashpoint, Hudson Rock y plataformas de seguimiento de ransomware como Ransomfeed, Ransomware Live o Ransomlook, las cuales no registran ni una sola mención sobre Tekir APT.
Tampoco existen rastros de este grupo en foros clandestinos de la dark web — como Dread, XSS, Nulled.to, Exploit.in o BreachForums — , ni en los sitios de filtraciones donde operan bandas reales como LockBit, Clop, Medusa o Black Basta. En síntesis: no hay huella alguna de Tekir APT.
Inteligencias artificiales y medios en círculo vicioso
A pesar de la ausencia de evidencia, herramientas de inteligencia artificial como ChatGPT y Grok aseguran que Tekir APT existe, basándose en información publicada por los mismos medios que, a su vez, replicaron la nota original de Hackmanac. Es un círculo vicioso: los medios citan a la IA, la IA cita a los medios, y la información se valida a sí misma sin sustento.
No hay investigaciones periodísticas independientes, ni reportes técnicos verificables, ni análisis de seguridad que respalden la historia. Lo que sí hay es una narrativa repetida hasta volverse “real” a fuerza de repetición.
¿Un ataque o una cortina de humo?
Las dudas crecen. ¿Y si el “ataque” nunca ocurrió como se ha contado? ¿Y si se trata de una simulación interna o de un intento de ocultar información sensible dentro de la propia Fiscalía?
Algunas fuentes cercanas al caso han sugerido irregularidades: los sistemas supuestamente cifrados siguen operando con normalidad, y resulta contradictorio que el personal haya sido enviado a trabajar desde casa, exponiéndose — según la versión oficial — a una red comprometida. Además, la Fiscalía no ha emitido una explicación técnica sólida ni transparente sobre lo sucedido.
Si el ataque no fue real, el supuesto “ransomware” podría ser el pretexto perfecto para justificar la pérdida, eliminación o manipulación de datos comprometidos, evitando así la rendición de cuentas ante casos sensibles.
El riesgo para la ciudadanía
Como ocurre en la mayoría de estos episodios, la población termina siendo la más afectada. Información personal o judicial podría perderse, quedar inaccesible o incluso ser filtrada y usada para extorsiones, fraudes o estafas. Pero lo más alarmante es que, sin transparencia, los ciudadanos nunca sabrán con certeza qué ocurrió, si se pagó un rescate o si el incidente fue real.
La urgencia del periodismo de investigación
Este caso es un recordatorio contundente de por qué el periodismo de investigación es indispensable. En un ecosistema mediático dominado por la inmediatez y las fuentes automatizadas, cada vez son menos los medios que verifican datos o contrastan versiones.
Hoy, miles de ciudadanos consumen noticias cuya veracidad nadie ha comprobado. La información se replica, se amplifica y termina siendo validada por algoritmos que no investigan, sólo repiten.
Por eso, la pregunta sobre Tekir APT trasciende el ámbito de la ciberseguridad. No se trata solo de un presunto ataque digital, sino de una alerta sobre cómo se fabrica la verdad en la era de la información automatizada.
Y mientras no existan respuestas claras, el verdadero riesgo no está en la red, sino en la desinformación que la envuelve.
Para más información, visite: https://www.silikn.com/