Filtraciones de datos en el gobierno de México resalta la urgente necesidad de combatir los infostealers

Entre 2018 y 2025, varias dependencias del gobierno mexicano enfrentaron graves filtraciones de datos que comprometieron información confidencial y afectaron su operación. Entre los incidentes más destacados se encuentran el ciberataque de 2024 a la Consejería Jurídica de la Presidencia, en el que el grupo RansomHub filtró 206 GB de datos sensibles; el ataque masivo de 2022 contra la Sedena, perpetrado por el colectivo Guacamaya, que expuso 7 terabytes de documentos clasificados; y la continua vulnerabilidad de Pemex frente a ciberataques.

También se registraron compromisos de seguridad en instituciones como la Lotería Nacional, Conagua, el Sistema de Acreditación de Prensa de Presidencia y la plataforma Llave CDMX, incluyendo la exposición de datos personales de figuras políticas. Estas vulneraciones han implicado el acceso no autorizado y la extracción de información confidencial, incluida una gran cantidad de datos operativos y de empleados.

La unidad de investigación de SILIKN ha determinado que las vulneraciones han sido facilitadas tanto por actividades ilícitas de empleados o ex-empleados, quienes han vendido o compartido credenciales legítimas con grupos cibercriminales, como por el uso de métodos más sofisticados. En particular, se ha identificado una combinación de malware especializado en el robo de información y avanzadas técnicas de ingeniería social como factores clave. Un análisis reveló el empleo del malware conocido como “infostealer” (ladrón de información), utilizado para comprometer a un gran número de empleados de las dependencias, lo cual ha permitido a los atacantes obtener credenciales reales, vigentes y críticas y así acceder inicialmente a los sistemas comprometidos.

En este sentido, se ha documentado que diversos accesos se han logrado a través de plataformas empleadas en los sitios web gubernamentales, como Cpanel, Zimbra, Wordpress, Microsoft, Active Directory, a los servicios de inicios de sesión de intranet y cuentas de correo web, así como mediante subdominios como https://www[.]gob[.]mx/cms/admin/sign_in o https://www[.]gob[.]mx/sso/. Un caso específico ha revelado que el sitio gob.mx está asociado con 572 computadoras comprometidas por infostealers (ladrones de información), además de 54 credenciales de empleados de terceros. Esto pone en riesgo las credenciales almacenadas en estos dispositivos, que podrían ser utilizadas indebidamente por cibercriminales.

Asimismo, al analizar la fortaleza general de las contraseñas, según el estudio realizado por la unidad de investigación de SILIKN, se identificó que los usuarios y empleados que acceden a estas plataformas y subdominios utilizan contraseñas en las que el 12.67% son extremadamente débiles, el 83.63% son débiles, el 2.14% tienen un nivel de seguridad medio y sólo el 1.56% son fuertes. Es importante señalar que el gobierno de México no ha implementado requisitos de contraseñas sólidas para el acceso a sus sistemas.

Específicamente, en el caso de las URLs asociadas al acceso inicial, las contraseñas eran aún más débiles, lo que sugiere que no habría sido necesario un ataque de robo de información para que los ciberdelincuentes pudieran ingresar mediante fuerza bruta.

De igual manera, en México, varios infostealers han comprometido la seguridad de entidades gubernamentales y sectores clave. Entre los más notables están Redline Stealer, que roba credenciales de navegadores y datos del sistema operativo; Raccoon Stealer, que se propaga principalmente a través de correos de phishing y ha afectado a instituciones gubernamentales; Formbook, especializado en recolectar datos del portapapeles y registros de teclas; y Lumma Stealer, que ha surgido recientemente como una amenaza significativa.

Mediante este tipo de malware, los atacantes han logrado extraer y exfiltrar una gran cantidad de datos internos. Entre la información más crítica se encuentran millones de correos electrónicos y nombres de usuarios y empleados de diversas dependencias, lo que los expone a riesgos de phishing y suplantación de identidad.

La filtración de datos en diversas dependencias del gobierno de México resalta la creciente amenaza de los infostealers, que continúan siendo uno de los métodos principales para obtener acceso inicial a las redes gubernamentales. Como hemos observado, estas infecciones permiten a los ciberdelincuentes obtener las credenciales necesarias para infiltrarse en los sistemas y, como se ha evidenciado en este caso, pueden ser aprovechadas para expandir el acceso mediante avanzadas tácticas de ingeniería social. Los robos de información actúan como una plataforma para ataques más complejos, lo que los convierte en una preocupación crítica para todas las organizaciones en el país.

Además, el impacto en millones de empleados demuestra lo extendidas que pueden estar estas infecciones, subrayando la necesidad urgente de reforzar los protocolos de seguridad, mejorar la gestión de credenciales, aumentar la concientización de los empleados y fortalecer las defensas contra el malware.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599