Las principales técnicas que utilizan hoy los ciberdelincuentes para vulnerar los sistemas del gobierno mexicano

abril 24, 2026

Las principales técnicas que utilizan hoy los ciberdelincuentes para vulnerar los sistemas del gobierno mexicano

Imagen: Andrejzt | https://www.deviantart.com/andrejzt

Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.

En un contexto donde la inteligencia artificial domina el discurso oficial sobre modernización digital, la realidad de la ciberseguridad en el gobierno mexicano revela una narrativa mucho menos sofisticada: los incidentes registrados a lo largo de 2026 no responden a ataques futuristas, sino a la explotación sistemática de fallas conocidas, repetidas y, en muchos casos, ignoradas.

Lejos de anticiparse a las amenazas, diversas dependencias han quedado expuestas por una combinación de negligencia operativa, falta de capacitación y una estrategia de seguridad fragmentada. El problema no es la complejidad de los atacantes, sino la previsibilidad de las vulnerabilidades.

El factor humano: una deuda estructural

Los incidentes recientes en instituciones públicas reflejan un patrón persistente: el acceso inicial se logra mediante phishing, robo de credenciales e ingeniería social. Es decir, los atacantes no están “rompiendo” sistemas; están entrando por la puerta que los propios usuarios dejan abierta.

La insistencia gubernamental en invertir en infraestructura sin fortalecer la cultura de ciberseguridad ha resultado costosa. Funcionarios sin capacitación adecuada, uso indiscriminado de correos institucionales y prácticas laxas de autenticación convierten al sector público en un objetivo fácil.

Más preocupante aún es que estas fallas son, por definición, “no parcheables”: dependen del comportamiento humano. Sin una estrategia seria de concientización, cualquier inversión tecnológica queda neutralizada.

Herramientas legítimas, abusos previsibles

Otra constante en los incidentes es el uso indebido de herramientas legítimas de administración remota. En lugar de detectar comportamientos anómalos, muchas dependencias permiten que estas soluciones operen sin supervisión suficiente, facilitando movimientos laterales dentro de las redes comprometidas.

Esto no es sofisticación del atacante, sino falta de control interno. El hecho de que software autorizado pueda ser utilizado para desplegar ransomware o extraer información evidencia una ausencia de monitoreo efectivo.

Infraestructura crítica… mal protegida

Resulta particularmente alarmante que dispositivos diseñados para proteger las redes gubernamentales — como VPNs y gateways — se hayan convertido en puntos de entrada recurrentes. Vulnerabilidades conocidas, muchas veces sin actualizar, han permitido accesos iniciales que luego escalan a compromisos mayores.

Aquí el problema no es técnico, sino de gestión: sistemas sin mantenimiento, parches retrasados y una dependencia excesiva de proveedores sin auditorías rigurosas.

Ingeniería social más allá del correo

Técnicas como ClickFix — que inducen a los usuarios a ejecutar comandos maliciosos bajo pretextos técnicos — han demostrado ser efectivas también en entornos gubernamentales. Esto pone en evidencia que los controles tradicionales, como filtros de correo, son insuficientes frente a ataques que explotan directamente la interacción humana.

La falta de protocolos claros y capacitación deja a los empleados públicos vulnerables a este tipo de engaños, que ya no requieren grandes despliegues tecnológicos para tener éxito.

El fracaso en la gestión de identidades

Uno de los puntos más críticos en los incidentes de 2026 ha sido la gestión de identidades. Los atacantes no necesitan vulnerar sistemas complejos cuando pueden secuestrar sesiones activas o robar tokens de autenticación.

La implementación parcial o deficiente de mecanismos como la autenticación multifactor (MFA) ha demostrado ser insuficiente. En muchos casos, existe en papel, pero no en la práctica efectiva. Esto permite ataques que evaden controles y mantienen acceso persistente sin ser detectados.

Un riesgo silencioso: las identidades no humanas

El crecimiento de servicios digitales en el gobierno ha traído consigo una proliferación de cuentas de servicio, APIs y automatizaciones. Estas “identidades de máquina”, con altos privilegios y poca supervisión, se han convertido en un blanco ideal.

La falta de inventarios claros, rotación de credenciales y monitoreo continuo deja abiertas puertas invisibles que los atacantes aprovechan con facilidad.

Proveedores: el eslabón ignorado

Los ataques a la cadena de suministro también han encontrado terreno fértil en el sector público mexicano. La dependencia de terceros sin controles estrictos ha permitido que vulnerabilidades externas impacten directamente en sistemas gubernamentales.

Esto revela una visión limitada de la ciberseguridad: proteger lo interno sin auditar lo externo. En un ecosistema digital interconectado, esa distinción ya no es válida.

Más discurso que estrategia

El patrón que emerge es claro: los atacantes no necesitan innovar cuando las instituciones repiten los mismos errores. El uso de credenciales legítimas, herramientas confiables y comportamientos predecibles sigue siendo suficiente para comprometer sistemas críticos del Estado.

Mientras tanto, el discurso oficial continúa centrado en tecnologías emergentes, sin resolver las fallas estructurales más básicas.

Los incidentes de ciberseguridad en el gobierno mexicano durante 2026 no son anomalías, sino síntomas. Reflejan una falta de estrategia integral, una cultura organizacional rezagada y una preocupante desconexión entre inversión tecnológica y gestión real del riesgo.

La lección es incómoda pero evidente: no se trata de enfrentar amenazas más sofisticadas, sino de corregir errores elementales que, año tras año, siguen sin resolverse. Sin un cambio profundo en la forma en que el Estado entiende y gestiona la ciberseguridad, los ataques no solo continuarán, sino que seguirán teniendo éxito.

Para más información, visite: https://www.silikn.net/