Filtraciones e intrusiones en México abren 2026 y el punto débil vuelve a ser humano

La Agencia de Transformación Digital y Telecomunicaciones informó el 30 de enero de 2026 que no ha identificado la publicación de datos sensibles tras el supuesto hackeo reportado en diversas instituciones gubernamentales. La Agencia advirtió que, hasta el momento, el análisis indica que la mayor parte de la información atribuida al caso ya había circulado antes por el mismo grupo y ubicó el origen en sistemas obsoletos desarrollados y administrados por privados para entidades federativas. El acceso, precisó, se dio mediante usuarios y contraseñas válidos, que fueron inhabilitados de inmediato, sin que se haya vulnerado la infraestructura de las autoridades.

El señalamiento sobre credenciales válidas define el tipo de incidente. El acceso no se explica por una intrusión técnica directa, sino por el uso de identidades existentes dentro de sistemas que continúan operando pese a su obsolescencia. En ese escenario, la superficie de riesgo se desplaza hacia los procesos internos, la administración de accesos y la conducta cotidiana de quienes operan o interactúan con los sistemas.

“El phishing es la práctica ilegítima de manipular a las personas para que hagan algo en beneficio del atacante”, explicó Lázaro Bustio, investigador del Departamento de Estudios en Ingeniería para la Innovación en la Universidad Iberoamericana Ciudad de México. En ese tipo de ataques, detalló, el objetivo es provocar una acción concreta, abrir un enlace, descargar un archivo, autorizar un acceso o entregar credenciales.

“Las máquinas son muy buenas en detectar, pero las personas se dan el beneficio de la duda”, dijo Bustio en entrevista.

Ese margen aparece con mayor frecuencia en entornos que operan con sistemas heredados. Plataformas desarrolladas hace años, mantenidas por terceros y sostenidas mediante excepciones operativas tienden a concentrar cuentas con privilegios amplios y credenciales que permanecen activas más tiempo del recomendable. En su tarjeta informativa, la ATDT ubicó ahí el foco del caso, en sistemas obsoletos desarrollados y administrados por privados para entidades federativas.

Credenciales reales en sistemas obsoletos

La situación no ocurre en el vacío. En América Latina, los incidentes divulgados crecieron a una tasa anual de 25% entre 2014 y 2023 y, hacia 2025, las organizaciones enfrentaron en promedio 2,803 ataques semanales por empresa, por encima del promedio global de 1,984. De acuerdo con el reporte “Ciberseguridad, habilitador de confianza y competitividad”, elaborado por Endeavor e Incode, 68% de las empresas identifica al phishing y la ingeniería social como su amenaza más frecuente, mientras que en México 41% aún depende exclusivamente de contraseñas como mecanismo de autenticación.

Ese contexto ayuda a dimensionar por qué el acceso con identidades reales es hoy una de las rutas más utilizadas. Bustio explicó que el phishing no se limita al robo de contraseñas. También se usa como puerta de entrada para instalar software malicioso o tomar control de cuentas con permisos elevados. Una vez que la acción ocurre, el acceso deja de verse como anómalo y pasa a operar como legítimo dentro del sistema.

El arranque de 2026 estuvo marcado por alertas públicas. La Universidad Nacional Autónoma de México informó que durante el periodo vacacional detectó una intrusión no autorizada en cinco de sus más de 100,000 sistemas informáticos y que, tras activar protocolos institucionales, inhabilitó los sistemas involucrados. Por su parte, la Secretaría Anticorrupción y Buen Gobierno abrió un procedimiento de investigación de oficio por un posible incidente de seguridad en bases de datos personales en posesión de instituciones públicas, con hipótesis que incluyen hackeo, uso indebido de credenciales o filtración interna.

El World Economic Forum (WEF) ha colocado a la ciberseguridad entre los riesgos que se intensifican, con la inteligencia artificial como factor que acelera tanto las capacidades de ataque como las de defensa. Mientras que la Organización de los Estados Americanos (OEA), el Banco Interamericano de Desarrollo (BID) y el Global Cyber Security Capacity Centre de la Universidad de Oxford han documentado una brecha persistente entre capacidades técnicas puntuales y la institucionalización de prácticas necesarias para obtener resultados consistentes.

El costo de no cerrar la puerta a tiempo

La presión no es sólo operativa, también es económica. El costo promedio de una violación de datos en América Latina se ubicó en 3.81 millones de dólares en 2025, de acuerdo con el Cost of a Data Breach Report de IBM y Ponemon. El mismo reporte muestra que el ciclo promedio de identificación y contención es de 241 días y que los incidentes contenidos antes de los 200 días presentan una diferencia de costo relevante frente a aquellos que superan ese umbral.

En México, el ransomware sigue siendo un componente central del panorama. Entre agosto de 2024 y julio de 2025 se registraron 237,000 intentos de ataque bloqueados, según telemetría de Kaspersky. Este volumen ilustra la presión constante sobre organizaciones públicas y privadas y la frecuencia con la que los atacantes buscan una primera puerta de entrada.

Bustio destacó que el factor humano no debe leerse como una falla individual, sino como una condición estructural. “Todos somos vulnerables a un ataque de phishing. Todos”, dijo. Cuando una acción cotidiana habilita un acceso, el impacto depende del alcance de los permisos asociados a esa identidad, del tiempo que tarda en detectarse el uso indebido y de la capacidad para inhabilitar credenciales sin interrumpir servicios críticos.

En ese sentido, un incidente basado en credenciales válidas exige una agenda distinta a la de un ataque puramente técnico. Inventario de cuentas, control de privilegios, autenticación de múltiples factores, segregación de funciones, rotación de contraseñas y verificación por canales alternos ante solicitudes urgentes se vuelven determinantes para acotar el daño.

La ATDT reportó que las credenciales identificadas fueron inhabilitadas de inmediato y que los protocolos se activaron desde el primer momento en que se tuvo conocimiento de la amenaza. También argumentó que cuenta con un área especializada en ciberseguridad desde octubre de 2024, que ha capacitado a 613 servidores públicos y que ha emitido 204 alertas y notificaciones tempranas a dependencias. Además, informó la publicación del Plan Nacional de Ciberseguridad 2025-2030 y de la Política General de Ciberseguridad.

El inicio de 2026 deja una fotografía clara. El acceso más rentable para el atacante sigue siendo el que opera con identidades reales. En sistemas heredados y con operación distribuida, el phishing sigue siendo el punto de entrada más frecuente.

rodrigo.riquelme@eleconomista.mx