El desastre de ciberseguridad del IMSS pone en riesgo a todo México
Imagen: Andrejzt | https://www.deviantart.com/andrejzt
Por Víctor Ruiz, fundador de SILIKN, CyberOps Associate (CCNA CyberOps), Instructor Certificado en Ciberseguridad (CSCT™), NIST Cybersecurity Framework 2.0 Certified Expert (CSFE), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker & Cisco Cybersecurity Analyst, Coordinador de la Subcomisión de Ciberseguridad de COPARMEX Querétaro y Líder del Capítulo Querétaro de la Fundación OWASP.
El Instituto Mexicano del Seguro Social vuelve a colocarse en el centro de una crisis de ciberseguridad que exhibe graves deficiencias estructurales en la protección de la información de millones de derechohabientes. De acuerdo con diversos reportes difundidos en foros clandestinos y plataformas de mensajería utilizadas por ciberdelincuentes, una serie de vulnerabilidades expuso la base completa del Sistema de Banco de Sangre del IMSS, permitiendo la descarga masiva de información sensible por parte de distintos actores maliciosos. Los datos comprometidos incluirían nombres completos, números de seguridad social, teléfonos, diagnósticos médicos y documentos oficiales en formatos PDF pertenecientes a millones de ciudadanos mexicanos.
La magnitud del incidente quedó evidenciada cuando al menos tres atacantes distintos comenzaron a comercializar la información en diferentes espacios del mercado negro digital. El primero, ofreció en foros clandestinos más de 3.4 millones de registros en formatos JSON y CSV con información médica y personal de pacientes. El segundo, distribuyó más de 17 GB de archivos comprimidos con documentación oficial presuntamente extraída del mismo sistema, mientras que un tercer atacante, confirmó también poseer y comercializar la misma base de datos. Posteriormente, el sistema afectado habría sido desconectado por el IMSS; sin embargo, para entonces la información ya había sido descargada, replicada y distribuida entre múltiples cibercriminales.
La situación resulta especialmente alarmante debido a la sensibilidad de los datos comprometidos. La filtración de expedientes relacionados con bancos de sangre y diagnósticos médicos no solo vulnera la privacidad de los pacientes, sino que puede derivar en delitos como robo de identidad, fraudes financieros, extorsiones dirigidas y campañas de phishing altamente personalizadas. La unidad de investigación de SILIKN advierte que la información médica tiene un alto valor en mercados ilícitos debido a que combina datos personales permanentes con historiales clínicos difíciles de modificar por las víctimas.
Este incidente no ocurre de forma aislada. La unidad de investigación de SILIKN reportó el 27 de junio de 2025 que el IMSS enfrentaba riesgos críticos derivados de vulnerabilidades capaces de permitir la instalación de malware, el robo de información y la toma de control de sistemas institucionales sin interacción del usuario. Entre ellas destacó la vulnerabilidad CVE-2025–3456, con puntuación CVSS de 8.8, relacionada con la función de traducción por inteligencia artificial integrada en sistemas Windows 10 y Windows 11. La falla permitía la ejecución remota de código malicioso mediante archivos de texto especialmente diseñados, aprovechando la forma en que la aplicación procesaba entradas manipuladas.
![]()
La característica más preocupante de esta vulnerabilidad era su naturaleza de “clic cero”. En términos prácticos, un atacante podía comprometer un sistema simplemente enviando un archivo de texto malicioso por correo electrónico o aplicaciones de mensajería, sin necesidad de que la víctima hiciera clic en enlaces o ejecutara archivos manualmente. Debido a que la función de traducción se encuentra habilitada por defecto en numerosos entornos multilingües y se integra con aplicaciones como Outlook y Microsoft Edge, el vector de ataque podía extenderse rápidamente dentro de redes institucionales complejas como las utilizadas por el IMSS.
El Instituto Mexicano del Seguro Social representa una de las infraestructuras más críticas del país. Su operación sostiene servicios médicos, pensiones, guarderías, incapacidades y prestaciones sociales para millones de trabajadores y sus familias. Además, concentra enormes volúmenes de información personal, laboral y médica, convirtiéndose en un objetivo prioritario para grupos criminales especializados en extorsión y venta de datos. La protección de esta infraestructura digital debería ser considerada un asunto estratégico de seguridad nacional.
Sin embargo, los antecedentes demuestran una tendencia persistente de incidentes de ciberseguridad. En 2019 se reportó un ataque de ransomware que interrumpió servicios institucionales debido a vulnerabilidades en sistemas desactualizados. En 2021 se detectó la venta de bases de datos con información de afiliados en internet, exponiendo nuevamente a millones de ciudadanos. Posteriormente, en septiembre de 2025, un grupo cibercriminal puso a la venta información de aproximadamente 20 millones de pensionados, incluyendo nombres, CURP, NSS, direcciones, padecimientos médicos y tipos de sangre. Aunque el IMSS aseguró en aquel momento que no existió acceso directo a historiales clínicos completos, el incidente generó alertas por posibles fraudes y extorsiones dirigidas.
La situación escaló aún más a finales de enero de 2026, cuando otro grupo cibercriminal ejecutó una megafiltración de aproximadamente 2.3 TB de información que afectó a más de 25 instituciones públicas mexicanas, incluyendo al IMSS y al IMSS-Bienestar. Se estima que alrededor de 36 millones de mexicanos resultaron afectados por la exposición de datos relacionados con programas de salud y padrones sociales. Entre la información comprometida se encontraban CURP, direcciones completas, códigos QR de afiliación y registros vinculados a expedientes médicos, incrementando de manera significativa el riesgo de suplantación de identidad y fraude masivo.
A pesar de la gravedad acumulada de estos incidentes, la unidad de investigación de SILIKN ha señalado que la respuesta institucional continúa siendo reactiva y limitada. El cierre tardío de sistemas comprometidos no elimina la información del mercado negro ni reduce el impacto de la exposición. Una vez filtrados, los datos pueden permanecer durante años circulando entre grupos criminales, ser revendidos en múltiples ocasiones y utilizarse para campañas coordinadas de fraude digital.
La creciente sofisticación de los ataques dirigidos al sector salud obliga a replantear las prioridades de ciberseguridad dentro del IMSS y del sector público mexicano en general. La unidad de investigación de SILIKN recomienda implementar esquemas robustos de cifrado de extremo a extremo, autenticación multifactor, segmentación de redes críticas, auditorías permanentes de seguridad, programas de capacitación para el personal y políticas estrictas de gestión de vulnerabilidades. También resulta indispensable deshabilitar funciones no esenciales en sistemas sin actualizar y aplicar de manera inmediata los parches de seguridad liberados por fabricantes como Microsoft.
La ciberseguridad dejó de ser un tema exclusivamente tecnológico para convertirse en un componente esencial de la estabilidad institucional y de la protección de derechos fundamentales. En el caso del IMSS, cada vulnerabilidad explotada no solo compromete servidores y bases de datos, sino también la privacidad, la seguridad y la confianza de millones de mexicanos que dependen diariamente de sus servicios.
Para más información, visite: https://www.silikn.net/
El Instituto Mexicano del Seguro Social vuelve a colocarse en el centro de una crisis de ciberseguridad que exhibe graves deficiencias estructurales en la protección de la información de millones de derechohabientes. De acuerdo con diversos reportes difundidos en foros clandestinos y plataformas de mensajería utilizadas por ciberdelincuentes, una serie de vulnerabilidades expuso la base completa del Sistema de Banco de Sangre del IMSS, permitiendo la descarga masiva de información sensible por parte de distintos actores maliciosos. Los datos comprometidos incluirían nombres completos, números de seguridad social, teléfonos, diagnósticos médicos y documentos oficiales en formatos PDF pertenecientes a millones de ciudadanos mexicanos.
La magnitud del incidente quedó evidenciada cuando al menos tres atacantes distintos comenzaron a comercializar la información en diferentes espacios del mercado negro digital. El primero, ofreció en foros clandestinos más de 3.4 millones de registros en formatos JSON y CSV con información médica y personal de pacientes. El segundo, distribuyó más de 17 GB de archivos comprimidos con documentación oficial presuntamente extraída del mismo sistema, mientras que un tercer atacante, confirmó también poseer y comercializar la misma base de datos. Posteriormente, el sistema afectado habría sido desconectado por el IMSS; sin embargo, para entonces la información ya había sido descargada, replicada y distribuida entre múltiples cibercriminales.
La situación resulta especialmente alarmante debido a la sensibilidad de los datos comprometidos. La filtración de expedientes relacionados con bancos de sangre y diagnósticos médicos no solo vulnera la privacidad de los pacientes, sino que puede derivar en delitos como robo de identidad, fraudes financieros, extorsiones dirigidas y campañas de phishing altamente personalizadas. La unidad de investigación de SILIKN advierte que la información médica tiene un alto valor en mercados ilícitos debido a que combina datos personales permanentes con historiales clínicos difíciles de modificar por las víctimas.
Este incidente no ocurre de forma aislada. La unidad de investigación de SILIKN reportó el 27 de junio de 2025 que el IMSS enfrentaba riesgos críticos derivados de vulnerabilidades capaces de permitir la instalación de malware, el robo de información y la toma de control de sistemas institucionales sin interacción del usuario. Entre ellas destacó la vulnerabilidad CVE-2025–3456, con puntuación CVSS de 8.8, relacionada con la función de traducción por inteligencia artificial integrada en sistemas Windows 10 y Windows 11. La falla permitía la ejecución remota de código malicioso mediante archivos de texto especialmente diseñados, aprovechando la forma en que la aplicación procesaba entradas manipuladas.
La característica más preocupante de esta vulnerabilidad era su naturaleza de “clic cero”. En términos prácticos, un atacante podía comprometer un sistema simplemente enviando un archivo de texto malicioso por correo electrónico o aplicaciones de mensajería, sin necesidad de que la víctima hiciera clic en enlaces o ejecutara archivos manualmente. Debido a que la función de traducción se encuentra habilitada por defecto en numerosos entornos multilingües y se integra con aplicaciones como Outlook y Microsoft Edge, el vector de ataque podía extenderse rápidamente dentro de redes institucionales complejas como las utilizadas por el IMSS.
El Instituto Mexicano del Seguro Social representa una de las infraestructuras más críticas del país. Su operación sostiene servicios médicos, pensiones, guarderías, incapacidades y prestaciones sociales para millones de trabajadores y sus familias. Además, concentra enormes volúmenes de información personal, laboral y médica, convirtiéndose en un objetivo prioritario para grupos criminales especializados en extorsión y venta de datos. La protección de esta infraestructura digital debería ser considerada un asunto estratégico de seguridad nacional.
Sin embargo, los antecedentes demuestran una tendencia persistente de incidentes de ciberseguridad. En 2019 se reportó un ataque de ransomware que interrumpió servicios institucionales debido a vulnerabilidades en sistemas desactualizados. En 2021 se detectó la venta de bases de datos con información de afiliados en internet, exponiendo nuevamente a millones de ciudadanos. Posteriormente, en septiembre de 2025, un grupo cibercriminal puso a la venta información de aproximadamente 20 millones de pensionados, incluyendo nombres, CURP, NSS, direcciones, padecimientos médicos y tipos de sangre. Aunque el IMSS aseguró en aquel momento que no existió acceso directo a historiales clínicos completos, el incidente generó alertas por posibles fraudes y extorsiones dirigidas.
La situación escaló aún más a finales de enero de 2026, cuando otro grupo cibercriminal ejecutó una megafiltración de aproximadamente 2.3 TB de información que afectó a más de 25 instituciones públicas mexicanas, incluyendo al IMSS y al IMSS-Bienestar. Se estima que alrededor de 36 millones de mexicanos resultaron afectados por la exposición de datos relacionados con programas de salud y padrones sociales. Entre la información comprometida se encontraban CURP, direcciones completas, códigos QR de afiliación y registros vinculados a expedientes médicos, incrementando de manera significativa el riesgo de suplantación de identidad y fraude masivo.
A pesar de la gravedad acumulada de estos incidentes, la unidad de investigación de SILIKN ha señalado que la respuesta institucional continúa siendo reactiva y limitada. El cierre tardío de sistemas comprometidos no elimina la información del mercado negro ni reduce el impacto de la exposición. Una vez filtrados, los datos pueden permanecer durante años circulando entre grupos criminales, ser revendidos en múltiples ocasiones y utilizarse para campañas coordinadas de fraude digital.
La creciente sofisticación de los ataques dirigidos al sector salud obliga a replantear las prioridades de ciberseguridad dentro del IMSS y del sector público mexicano en general. La unidad de investigación de SILIKN recomienda implementar esquemas robustos de cifrado de extremo a extremo, autenticación multifactor, segmentación de redes críticas, auditorías permanentes de seguridad, programas de capacitación para el personal y políticas estrictas de gestión de vulnerabilidades. También resulta indispensable deshabilitar funciones no esenciales en sistemas sin actualizar y aplicar de manera inmediata los parches de seguridad liberados por fabricantes como Microsoft.
La ciberseguridad dejó de ser un tema exclusivamente tecnológico para convertirse en un componente esencial de la estabilidad institucional y de la protección de derechos fundamentales. En el caso del IMSS, cada vulnerabilidad explotada no solo compromete servidores y bases de datos, sino también la privacidad, la seguridad y la confianza de millones de mexicanos que dependen diariamente de sus servicios.
Para más información, visite: https://www.silikn.net/