El ciberataque a la Sociedad Hipotecaria Federal pone en jaque al ecosistema financiero y habitacional del Gobierno de México
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
El ciberataque perpetrado por el grupo de ransomware LockBit 5.0 contra la Sociedad Hipotecaria Federal (SHF) se perfila como uno de los episodios más graves de vulneración digital sufridos por una institución pública mexicana en los últimos años. Más allá de la interrupción operativa inmediata, el incidente ha encendido una señal de alarma de mayor alcance: la posible exposición sistémica de dependencias clave del Gobierno federal y de todo el entramado financiero y habitacional del país.
Detectado desde el 21 de enero, el ataque paralizó funciones críticas de la SHF — como avalúos, validación de créditos y procesos de fondeo — y derivó en la exfiltración de aproximadamente 277 gigabytes de información sensible, equivalentes a más de un terabyte de datos descomprimidos. De acuerdo con la unidad de investigación de SILIKN, el material comprometido incluye expedientes completos de deudores hipotecarios con datos personales altamente sensibles: nombres, domicilios, CURP, RFC y detalles financieros. Parte de esta información ya circula en foros de la dark web, con la amenaza explícita de una divulgación mayor si no se cumplen las exigencias de extorsión cuyo plazo venció el 5 de febrero de 2026.
El impacto potencial del ataque rebasa con creces a la institución afectada. La SHF, banca de desarrollo de segundo piso dependiente de la Secretaría de Hacienda y Crédito Público (SHCP), opera como un nodo central del sistema de financiamiento de vivienda. Su función de intermediación entre bancos comerciales, SOFOMES, SOFIPOS, uniones de crédito y organismos públicos como INFONAVIT y FOVISSSTE implica un flujo constante de información compartida, validaciones cruzadas y acceso a plataformas interconectadas.
En este contexto, una brecha en sus sistemas no constituye un evento aislado, sino una posible puerta de entrada para ataques laterales a otras entidades públicas y privadas que dependen de la SHF para fondeo, supervisión y operación diaria.
Especial preocupación generan los vínculos con instituciones que concentran información de millones de personas. En el caso del INFONAVIT y el FOVISSSTE, la SHF administra y procesa expedientes relacionados con créditos de vivienda de trabajadores del sector privado y público. La exposición de estos datos abre la puerta a fraudes de identidad, campañas de phishing altamente dirigidas y esquemas de extorsión a gran escala.
La Comisión Nacional Bancaria y de Valores (CNBV), como órgano regulador y supervisor de la SHF, tampoco es ajena al riesgo. El intercambio de reportes financieros, datos de cumplimiento y accesos a sistemas regulados mediante plataformas interconectadas convierte a una vulnerabilidad persistente en la SHF en una amenaza directa para la integridad de la supervisión del sistema bancario.
A ello se suma la exposición indirecta de intermediarios financieros privados y desarrolladores de vivienda — entre ellos grandes bancos y constructoras de interés social — que dependen de la SHF para validación y fondeo de operaciones, y cuyos clientes ya figuran entre los datos comprometidos.
El ataque ocurre en un momento particularmente delicado. Durante 2025 y 2026, México ha enfrentado una escalada de agresiones cibernéticas contra instituciones públicas, evidenciando fallas estructurales en la protección de datos gubernamentales.
Dependencias como el Servicio de Administración Tributaria (SAT) y el Instituto Mexicano del Seguro Social (IMSS) han sido señaladas recientemente por exposiciones de información derivadas de ataques o configuraciones deficientes, comprometiendo datos fiscales y médicos de millones de ciudadanos. A ello se suma la detección de vulnerabilidades críticas en servidores y sistemas heredados utilizados por organismos como el IMSS, INFONAVIT, CONAGUA y gobiernos estatales, muchos de ellos operando sin parches de seguridad actualizados.
La unidad de investigación de SILIKN ha advertido que entre 20 y 40 dependencias federales y estatales presentan condiciones de alto riesgo ante ransomware, algunas con rastros de intrusiones previas que facilitan nuevas infecciones. En varios casos, los ataques no se detectan de inmediato, permitiendo a los cibercriminales mantener accesos persistentes durante meses.
La unidad de investigación de SILIKN coincide en que la arquitectura tecnológica del Estado mexicano — basada en plataformas centralizadas, accesos compartidos, APIs interinstitucionales y una gestión deficiente de credenciales — amplifica el impacto de cualquier brecha. En este entorno, el ataque a una sola institución puede derivar en un efecto dominó que comprometa a múltiples organismos.
Entre los factores que agravan el riesgo se encuentran la falta de segmentación de redes, la escasa rotación de credenciales privilegiadas, la dependencia de proveedores externos sin auditorías exhaustivas y el peso del error humano, responsable de una proporción significativa de incidentes de seguridad en el sector público.
Hasta ahora, la SHF ha reconocido intermitencias y la adopción de procesos provisionales, pero no ha transparentado el alcance real de la brecha ni las medidas de contención implementadas. Mientras tanto, el sector vivienda — que moviliza cientos de miles de millones de pesos al año — opera de forma parcial, con retrasos en créditos, proyectos detenidos y afectaciones directas para miles de familias, intermediarios financieros y desarrolladores.
El hackeo a la SHF no puede reducirse a un incidente tecnológico ni a un problema operativo. Se trata de un riesgo estructural para la seguridad nacional, que expone datos de alto valor estratégico, debilita la confianza en las instituciones y deja en evidencia la fragilidad de la infraestructura digital del Estado frente a actores criminales internacionales altamente organizados.
La respuesta de las autoridades, marcada hasta ahora por la opacidad y la fragmentación, será determinante. De su rapidez, coordinación y transparencia dependerá no solo la contención del daño inmediato, sino la credibilidad futura del sistema financiero, habitacional y regulatorio del país.
Para más información, visite: https://www.silikn.net/