Martin Contreras
Un grupo de cibercriminales autodenominado Chronus ha ejecutado el mayor ataque informático contra instituciones mexicanas en años, filtrando alrededor de 2.3 terabytes de información confidencial que incluye datos personales de más de 36.5 millones de mexicanos.
El grupo Chronus, que ya había advertido sobre la vulnerabilidad de los sistemas gubernamentales a finales de enero, cumplió su amenaza el 30 de enero de 2026. Según reportes del periodista especializado Ignacio Gómez Villaseñor, al menos 25 instituciones públicas fueron penetradas, entre las que destacan dependencias clave del gobierno federal.
Las instituciones más comprometidas incluyen al Servicio de Administración Tributaria (SAT), la Secretaría de Educación Pública (SEP), la Secretaría de Salud, el IMSS Bienestar y el Instituto Nacional de Perinatología (INPer), así como la base de datos del Movimiento de Regeneración Nacional (Morena).
El daño más crítico recayó en el IMSS Bienestar, donde se estima que la información de más de 3.1 millones de personas quedó expuesta. De acuerdo con reportes de ciberseguridad, los datos extraídos incluyen información de alta sensibilidad como CURP, RFC, cédulas de elector, números telefónicos, direcciones domiciliares y datos de afiliación política.
En el caso particular de la SEP y la Secretaría de Salud, fueron vulnerados los registros de aproximadamente 17 mil empleados públicos, incluyendo sus CURP, nombres, apellidos, cargos y correos electrónicos.
La Agencia de Transformación Digital y Telecomunicaciones (ATDT) emitió un comunicado el 30 de enero, negando categóricamente que se hubiera registrado una "intrusión exitosa" en sistemas estratégicos del gobierno federal. Sin embargo, la dependencia reconoció que se detectó el uso de credenciales de usuario válidas (nombres de usuario y contraseñas) que fueron desactivadas inmediatamente.
Según la ATDT, la información circulante correspondería principalmente a datos que habían sido divulgados previamente por el mismo grupo y no a una intrusión reciente de la infraestructura crítica gubernamental. La dependencia puntualizó que los accesos identificados pertenecían a sistemas obsoletos operados por proveedores privados que brindan servicios a entidades federativas, no a plataformas estratégicas del gobierno central.
"Se activaron todos los protocolos desde el primer momento en que se tuvo conocimiento de la amenaza", indicó la ATDT en su comunicado oficial.
Mensaje del Grupo Delictivo:
El equipo Chronus fue contundente en su comunicación posterior. Afirmó que el propósito de las filtraciones era demostrar que los protocolos de seguridad del gobierno son "totalmente ineficientes" y que la infraestructura digital del Estado "siempre fue vulnerable". El grupo anunció planes para liberar información adicional y más sensible, particularmente documentos del SAT, a través de un grupo de acceso VIP.
Este ataque no ocurre en aislamiento. De acuerdo con el Plan Nacional de Ciberseguridad 2025-2030 publicado por el gobierno federal, México ocupa el segundo lugar en Latinoamérica en cantidad de víctimas publicadas en foros de ciberdelincuentes, con 155 casos registrados, solo superado por Brasil (320 casos). El 60% de estas víctimas mexicanas está concentrado en tan solo 10 grupos de cibercriminales.
La Secretaría Anticorrupción y Buen Gobierno ha abierto más de 20 investigaciones por vulneración de datos, detectando "riesgos significativos" en el uso de sistemas de gestión de contenidos (CMS) de licencia libre o con plantillas genéricas en dependencias públicas.
El gobierno mexicano ha advertido que la obtención, posesión o difusión no autorizada de información confidencial constituye delito federal. Las autoridades correspondientes procederán con denuncias formales contra los responsables según lo establecido por la ley.
Este hackeo supera significativamente incidentes previos. En abril de 2024, el grupo Mexican Mafia había puesto a la venta 1.3 terabytes de datos del gobierno de la Ciudad de México. El actual ataque contra dependencias federales—con 2.3 terabytes—prácticamente duplica el volumen de información comprometida.
Expertos en ciberseguridad recomiendan a los mexicanos cuya información pudiera estar comprometida:
Monitorear movimientos en cuentas bancarias y registros fiscales
Cambiar contraseñas en plataformas digitales que utilicen RFC o CURP
Revisar el historial crediticio en el Buró de Crédito
Reportar actividades sospechosas a las instituciones correspondientes
