Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Gestión de Riesgos de Ciberseguridad > Brecha de datos del gobierno mexicano: sistemas heredados y riesgos de proveedores

Brecha de datos del gobierno mexicano: sistemas heredados y riesgos de proveedores

by Patrick Spencer updated febrero 11, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 11 minutes

Un grupo hacktivista se atribuyó recientemente la responsabilidad de una de las mayores filtraciones de datos gubernamentales en la historia de América Latina. El objetivo fue el gobierno mexicano, y el botín alegado fue impactante: 2.3 terabytes de datos de al menos 25 instituciones gubernamentales diferentes, con la posible exposición de información personal de 36 millones de ciudadanos mexicanos.

Puntos clave

  1. Los proveedores externos son la mayor superficie de ataque del sector gubernamental. Casi el 30% de las agencias gubernamentales intercambian datos con más de 5,000 terceros, y las filtraciones vinculadas a proveedores han aumentado un 68% en los últimos años. Sin un seguimiento integral, controles de acceso y revocación automatizada de credenciales, las agencias siguen sin saber a dónde viajan sus datos más sensibles.
  2. Los sistemas «obsoletos» que aún almacenan datos no son sistemas desmantelados. El gobierno mexicano describió las plataformas comprometidas como obsoletas, pero los hacktivistas exfiltraron 2.3 terabytes de ellas. Si los sistemas heredados aún contienen datos de ciudadanos accesibles con credenciales activas, no están retirados: son pasivos no supervisados listos para ser explotados.
  3. Los grupos hacktivistas usan tanto la percepción como los datos como armas. El Chronus Group agrupó datos de múltiples fuentes y los anunció como una sola filtración masiva para maximizar la cobertura mediática y el temor público. Las organizaciones necesitan capacidades forenses y registros auditables inmutables para separar la exposición verificada de las afirmaciones exageradas antes de que se erosione la confianza pública.
  4. América Latina enfrenta un panorama de amenazas cibernéticas cada vez más complejo y diverso. Las organizaciones de la región ahora enfrentan un promedio de 3,065 ciberataques por semana, impulsados por actores estatales, ciberdelincuentes y hacktivistas operando simultáneamente. Los profesionales de ciberseguridad de la región reportan la menor confianza en las capacidades defensivas de sus gobiernos en comparación con sus pares a nivel mundial.
  5. La gobernanza unificada de datos es la única forma de cerrar brechas sistémicas. La supervisión fragmentada entre sistemas federales, estatales y de terceros crea las condiciones exactas que hicieron posible esta filtración. La visibilidad centralizada, la arquitectura de confianza cero, la revocación automatizada de accesos y el registro persistente de auditoría son requisitos fundamentales para proteger datos sensibles en ecosistemas gubernamentales complejos.

El incidente, que salió a la luz el 30 de enero de 2026, plantea preguntas urgentes sobre cómo los gobiernos gestionan datos sensibles de los ciudadanos, especialmente cuando esa información reside en infraestructuras antiguas mantenidas por contratistas externos. Y aunque la agencia de ciberseguridad de México actuó rápidamente para restar gravedad a la filtración, los problemas subyacentes que revela distan mucho de ser menores.

Esto es lo que ocurrió, por qué importa y qué pueden aprender las organizaciones que gestionan datos sensibles a gran escala.

Qué afirma haber robado el Chronus Group

Un colectivo de hackers autodenominado Chronus Group publicó documentos y conjuntos de datos que, según ellos, fueron exfiltrados de sistemas del gobierno mexicano. Según los reportes, la información filtrada incluye nombres, números de teléfono, direcciones físicas, fechas de nacimiento y comprobantes de afiliación al sistema público universal de salud de México, el Instituto Mexicano del Seguro Social (IMSS) Bienestar.

Si es correcto, esos datos representan aproximadamente el 28% de toda la población mexicana, convirtiéndose en uno de los eventos de exposición de datos gubernamentales más significativos en la memoria reciente de la región.

El Chronus Group es un colectivo relativamente difuso que opera de alguna forma desde al menos 2021, según la firma de inteligencia de amenazas Recorded Future. El grupo difumina la línea entre hacktivismo y ciberdelito. Mientras algunos miembros han vendido bases de datos y credenciales en foros de la dark web, el grupo también se ha autodenominado como una organización de «ciberterrorismo», aparentemente diseñada para maximizar el miedo y la atención mediática.

Como explicó un analista de Recorded Future, la estrategia del grupo es deliberada: «Quieren difundir el FUD —miedo, incertidumbre y duda— porque saben que eso les dará titulares». El analista señaló que el poder de la amplificación en redes sociales lleva su mensaje mucho más allá de lo que sus capacidades reales justificarían.

Respuesta de México: ¿Control de daños o evaluación legítima?

La Agencia de Transformación Digital y Telecomunicaciones (ATDT) de México, la principal agencia nacional de ciberseguridad y tecnología digital, respondió a las afirmaciones de filtración con una refutación mesurada pero firme. La agencia afirmó que no se había identificado ninguna publicación de datos sensibles y que la información parecía ser una compilación de datos de filtraciones anteriores, más que un nuevo compromiso.

Quizá lo más revelador fue la caracterización de los sistemas afectados. La ATDT los describió como «sistemas obsoletos desarrollados y administrados por entidades privadas para organismos gubernamentales estatales». Es decir, los datos expuestos no provenían de los sistemas centrales y activos del gobierno, sino de plataformas heredadas construidas y operadas por proveedores externos que, al menos en teoría, ya no estaban en servicio activo.

Esa distinción importa, pero no de la forma en que el gobierno podría esperar. Señala un conjunto de vulnerabilidades sistémicas mucho más comunes y peligrosas que cualquier filtración individual.

El problema de los proveedores externos es mayor que cualquier incidente aislado

La propia descripción de la ATDT sobre los sistemas comprometidos puso en evidencia uno de los riesgos más persistentes y subestimados en la ciberseguridad gubernamental: la gestión de proveedores externos.

Las agencias gubernamentales de todos los niveles dependen rutinariamente de contratistas externos para construir, implementar y gestionar sistemas tecnológicos. Esto es especialmente cierto a nivel estatal y municipal, donde la capacidad técnica interna puede ser limitada. El problema es que estas relaciones suelen carecer de las estructuras de gobernanza necesarias para mantener la seguridad de los datos a lo largo del tiempo.

Las cifras muestran un panorama preocupante. Según el Informe de Riesgo 2024 de Kiteworks, casi el 30% de las agencias gubernamentales intercambian datos con más de 5,000 terceros, la tasa más alta de cualquier sector. Mientras tanto, las filtraciones de datos vinculadas a proveedores externos han aumentado un 68%, y ahora representan el 15% de todas las filtraciones. El 45% de las principales filtraciones en 2024 involucraron a un proveedor o socio.

La puntuación de riesgo general del sector gubernamental subió un 95% entre 2019 y 2023, pasando de 4.0 a 7.8 en la escala de Kiteworks, impulsada principalmente por vulnerabilidades de terceros e infraestructura heredada.

Lo que hace que esto sea tan peligroso es el efecto acumulativo del problema. Cuando una agencia gubernamental contrata a un proveedor para construir un sistema, ese proveedor obtiene acceso a datos sensibles. Cuando el contrato termina o el sistema se reemplaza, el acceso suele persistir. Las credenciales no se revocan. Los datos permanecen en servidores que nadie supervisa activamente. Y como la supervisión está fragmentada entre niveles federales, estatales y locales, a menudo no hay una sola autoridad que rastree dónde viven los datos sensibles o quién puede acceder a ellos.

Por qué «obsoleto» no significa «seguro»

La forma en que la ATDT enmarcó los sistemas afectados como «obsoletos» probablemente buscaba tranquilizar al público. Pero revela un problema más profundo en cómo las organizaciones piensan la gestión del ciclo de vida de los datos.

Si un sistema es realmente obsoleto, es decir, ya no se necesita ni se utiliza, entonces los datos que contiene deberían haberse eliminado o archivado de forma segura. El hecho de que los hacktivistas pudieran exfiltrar 2.3 terabytes de estos sistemas sugiere que estaban lejos de estar correctamente desmantelados.

Este patrón se repite en gobiernos y grandes empresas de todo el mundo. Las bases de datos, servidores de archivos y aplicaciones antiguos se reemplazan por sistemas más nuevos, pero los viejos no se apagan. Permanecen en las redes con sus credenciales originales intactas, a menudo olvidados por los equipos de TI que han pasado a otras prioridades. Estos sistemas abandonados se convierten en algunos de los objetivos más fáciles para los atacantes porque combinan dos cosas que los hackers adoran: datos valiosos y mínima supervisión de seguridad.

Los fallos comunes en el desmantelamiento de sistemas incluyen bases de datos heredadas que siguen accesibles en la red mucho después de ser reemplazadas, credenciales de exempleados, contratistas y proveedores que nunca se revocan, datos sensibles que nunca se eliminan ni archivan de forma segura, y agencias estatales que implementan sistemas sin coordinación con la supervisión federal de ciberseguridad.

Cada uno de estos fallos representa una brecha que los atacantes pueden explotar, y en el caso del gobierno mexicano, parece que el Chronus Group encontró exactamente este tipo de brechas.

América Latina enfrenta una amenaza cibernética en aumento

La filtración mexicana no ocurrió en el vacío. América Latina se ha convertido en una de las regiones más atacadas del mundo, con organizaciones que enfrentan un promedio de 3,065 ataques por semana.

El panorama de amenazas es diverso y creciente. Actores estatales, incluidos los grupos Panda de China, han puesto cada vez más su atención en la región. Los malware de robo de información y de recolección de credenciales alcanzaron sus niveles más altos de detección a finales de 2024 en México y países vecinos, según ESET, y estas amenazas siguen en aumento.

Camilo Gutiérrez, CISO de campo de ESET para América Latina, describió la situación en términos claros: «El panorama de amenazas que enfrenta México es frecuente, diverso y creciente, compuesto tanto por vectores tradicionales como por nuevas formas de ataque que evolucionan rápidamente, reforzando la necesidad de fortalecer continuamente las capacidades de defensa y detección en los sectores público y privado».

Además de las amenazas técnicas, hay una crisis de confianza. Un estudio reciente reveló que los expertos en ciberseguridad de América Latina tienen la menor confianza en la capacidad de sus organizaciones y gobiernos para protegerlos, en comparación con sus pares de otras regiones del mundo. Esa erosión de la confianza tiene consecuencias reales. Cuando ciudadanos y empresas no creen que su gobierno pueda proteger sus datos, son menos propensos a interactuar con servicios digitales gubernamentales, lo que socava los esfuerzos de modernización que podrían mejorar la seguridad.

El manual del hacktivismo: Prometer de más, amplificar, repetir

Vale la pena señalar que el Chronus Group parece haber exagerado considerablemente la gravedad de su filtración. Esta es una táctica común entre los grupos hacktivistas, especialmente los que se forman en torno a una operación o causa específica.

Como señaló el analista de Recorded Future, estos grupos tienden a agrupar datos de múltiples fuentes, a veces mezclando compromisos realmente nuevos con información previamente filtrada, y luego anuncian el conjunto como una sola filtración masiva. El objetivo es construir marca. Cuanto mayor la supuesta filtración, más cobertura mediática, más amplificación en redes sociales y más credibilidad dentro de las comunidades de hackers.

Gutiérrez, de ESET, describió al Chronus Group no como un actor sofisticado con una firma técnica clara, sino como «un nombre utilizado en foros y reportes locales para agrupar una serie de filtraciones y amenazas dirigidas principalmente a instituciones mexicanas». Este tipo de afiliación laxa es común en el mundo hacktivista, donde la barrera de entrada es baja y el incentivo para exagerar es alto.

Dicho esto, incluso las afirmaciones exageradas de filtraciones causan daños reales. Erosionan la confianza pública, obligan a las agencias gubernamentales a gestionar crisis de forma reactiva y generan confusión sobre qué datos están realmente en riesgo. La capacidad de separar rápidamente hechos de ficción mediante análisis forense y registros de auditoría integrales es esencial para cualquier organización que enfrente este tipo de afirmaciones.

Cómo Kiteworks responde a desafíos como estos

Las acusaciones de filtración en el gobierno mexicano son un caso de estudio de los retos de seguridad de datos y cumplimiento que Kiteworks fue diseñado para resolver. Los problemas en el centro de este incidente, como la supervisión fragmentada de terceros, sistemas heredados abandonados, credenciales no revocadas y falta de gobernanza centralizada de datos, son precisamente las brechas que Kiteworks ayuda a cerrar.

Kiteworks ofrece una plataforma unificada para rastrear, controlar y proteger datos sensibles en ecosistemas complejos y con múltiples partes. Para organizaciones que gestionan relaciones extensas con proveedores y una infraestructura descentralizada como la del gobierno mexicano, esta plataforma aporta capacidades críticas.

En la gestión de riesgos de terceros, Kiteworks permite a las organizaciones mantener registros de auditoría completos de todo acceso de terceros a datos sensibles. Los controles de acceso basados en roles y atributos aseguran que los proveedores solo accedan a los datos necesarios para su función específica. Cuando un contrato termina o un sistema se desmantela, la revocación automatizada de accesos garantiza que las credenciales no permanezcan activas indefinidamente. Y la supervisión continua proporciona alertas en tiempo real ante comportamientos anómalos, como descargas masivas o accesos desde ubicaciones inesperadas.

Para la gobernanza de sistemas heredados, Kiteworks integra capacidades de Data Security Posture Management (DSPM) que ayudan a descubrir y clasificar datos sensibles en todos los repositorios, incluidos sistemas que pueden haber sido catalogados como obsoletos pero aún contienen datos accesibles. Este tipo de visibilidad es justo lo que faltó en el caso del gobierno mexicano, donde sistemas «obsoletos» seguían almacenando terabytes de datos ciudadanos sin la supervisión ni controles de acceso adecuados.

Cuando ocurren incidentes, Kiteworks proporciona la infraestructura forense necesaria para una respuesta rápida y efectiva. Los registros de auditoría inmutables crean una cadena de custodia clara que muestra quién accedió a qué datos, cuándo y desde dónde. La integración con SIEM permite supervisión en tiempo real y alertas automatizadas. Y la capacidad de revocar rápidamente credenciales comprometidas en todos los sistemas conectados ayuda a contener el daño antes de que se propague.

Quizá lo más importante para las agencias gubernamentales, Kiteworks respalda el tipo de transparencia que construye y mantiene la confianza pública. La respuesta inicial de la ATDT a las afirmaciones del Chronus Group fue adecuada en rapidez y claridad. Pero mantener esa confianza requiere visibilidad continua sobre cómo se protegen los datos, quién tiene acceso y qué medidas se toman para prevenir incidentes futuros. Las capacidades de gobernanza y reportes centralizados de Kiteworks hacen que ese nivel de transparencia sea operativo y no solo aspiracional.

Lo que toda organización debe aprender de esto

Las acusaciones de filtración de datos del gobierno mexicano, sean tan graves como se afirma o resulten ser datos reciclados, dejan lecciones que van mucho más allá de México o incluso de América Latina.

Los proveedores externos representan la mayor superficie de ataque para la mayoría de las agencias gubernamentales, y la mayoría de las organizaciones carecen de la visibilidad y las estructuras de gobernanza necesarias para gestionar ese riesgo de forma efectiva. Los sistemas heredados no se vuelven seguros solo porque alguien decide que son obsoletos. Solo lo son cuando los datos que contienen se eliminan correctamente, se revocan los accesos y se implementa monitoreo para detectar cualquier actividad no autorizada. Los grupos hacktivistas han aprendido que la percepción de una filtración masiva puede ser casi tan dañina como la filtración misma, lo que significa que las organizaciones necesitan capacidades forenses que les permitan evaluar rápida y creíblemente lo que sucedió.

Y en todos estos desafíos, el hilo conductor es la necesidad de una gobernanza unificada de datos que abarque sistemas federales, estatales y de terceros, brindando a los equipos de seguridad una visión clara y única de dónde viven los datos sensibles, quién puede acceder a ellos y qué está ocurriendo en cada momento.

Las organizaciones que inviertan ahora en estas capacidades serán las mejor preparadas para enfrentar la próxima filtración, ya sea de hacktivistas que buscan titulares, actores estatales con objetivos estratégicos o ciberdelincuentes tras ganancias económicas. Quienes no lo hagan se encontrarán en la misma situación que el gobierno mexicano: tratando de determinar qué se comprometió mientras intentan tranquilizar a una ciudadanía que ya está perdiendo la confianza.

Preguntas frecuentes

El 30 de enero de 2026, un grupo hacktivista llamado Chronus Group afirmó haber filtrado 2.3 terabytes de datos de al menos 25 instituciones gubernamentales mexicanas. Los datos supuestamente incluían nombres, números de teléfono, direcciones, fechas de nacimiento y registros de afiliación al sistema de salud de hasta 36 millones de ciudadanos mexicanos. La agencia de ciberseguridad de México, la ATDT, respondió afirmando que no se había publicado información sensible y que los datos parecían provenir de filtraciones anteriores almacenadas en sistemas obsoletos gestionados por terceros, en lugar de una nueva intrusión en la infraestructura central del gobierno.

El Chronus Group es un colectivo de hackers de organización laxa que opera de alguna forma desde al menos 2021. El grupo difumina la línea entre hacktivismo y ciberdelito; algunos miembros venden bases de datos y credenciales robadas en foros de la dark web, mientras que la organización en general se presenta como un grupo de «ciberterrorismo». Los analistas de inteligencia de amenazas describen a Chronus no como un actor técnicamente sofisticado con una firma clara, sino como un nombre utilizado para agrupar una serie de filtraciones y amenazas dirigidas principalmente a instituciones gubernamentales mexicanas. Su estrategia se centra en amplificar el miedo, la incertidumbre y la duda a través de redes sociales para generar titulares y construir su reputación en las comunidades de hackers.

Cuando las agencias gubernamentales reemplazan plataformas tecnológicas antiguas, los sistemas viejos suelen permanecer conectados a las redes con sus credenciales originales aún activas. Estos sistemas abandonados rara vez reciben parches de seguridad, monitoreo o supervisión, lo que los convierte en objetivos fáciles para atacantes que pueden exfiltrar grandes volúmenes de datos sensibles sin ser detectados. En la filtración mexicana, la ATDT describió las plataformas comprometidas como obsoletas, pero los hacktivistas pudieron extraer 2.3 terabytes de datos de ellas. Un desmantelamiento adecuado requiere eliminar o archivar de forma segura todos los datos sensibles, revocar cada credencial asociada y mantener registros de auditoría para verificar que no haya accesos no autorizados después de retirar un sistema.

Las agencias gubernamentales dependen rutinariamente de contratistas externos para construir y gestionar sistemas tecnológicos, especialmente a nivel estatal y local. Estas relaciones con proveedores generan riesgo porque las agencias a menudo carecen de visibilidad sobre a qué datos pueden acceder los terceros, no cuentan con procesos automatizados para revocar credenciales cuando terminan los contratos y operan bajo una supervisión fragmentada que abarca varios niveles de gobierno. Según el Informe de Riesgo 2024 de Kiteworks, casi el 30% de las agencias gubernamentales intercambian datos con más de 5,000 terceros, y la puntuación de riesgo del sector gubernamental aumentó un 95% entre 2019 y 2023. Sin gobernanza centralizada, controles de acceso automatizados y monitoreo continuo de la actividad de los proveedores, estas relaciones se convierten en puntos ciegos persistentes que los atacantes explotan.

Las organizaciones latinoamericanas ahora enfrentan un promedio de 3,065 ciberataques por semana, lo que convierte a la región en una de las más atacadas del mundo. La amenaza proviene de múltiples frentes simultáneamente, incluidos actores estatales como los grupos Panda de China que expanden operaciones en la región, ciberdelincuentes que despliegan malware de robo de información y recolección de credenciales en niveles récord, y colectivos hacktivistas como el Chronus Group que apuntan a instituciones gubernamentales. A esto se suma una crisis de confianza entre los profesionales de ciberseguridad de la región, quienes reportan la menor confianza en las capacidades defensivas de sus organizaciones y gobiernos en comparación con sus pares globales. Esta combinación de ataques crecientes y confianza decreciente crea un ciclo en el que ciudadanos y empresas son menos propensos a interactuar con servicios digitales gubernamentales, lo que socava los esfuerzos de modernización.

Kiteworks ofrece una plataforma unificada que brinda a las organizaciones visibilidad y control centralizados sobre datos sensibles en sistemas federales, estatales y de terceros. Para la gestión de riesgos de terceros, la plataforma mantiene registros de auditoría completos de todo acceso de proveedores, aplica controles de acceso granulares basados en roles y atributos, y automatiza la revocación de credenciales en cuanto termina un contrato o se desmantela un sistema. Sus capacidades de Data Security Posture Management ayudan a las agencias a descubrir y clasificar datos sensibles en todos los repositorios, incluidos sistemas heredados que pueden haber sido catalogados como obsoletos pero aún contienen registros accesibles. Cuando ocurren incidentes, los registros de auditoría inmutables y la integración con SIEM permiten un análisis forense rápido para que los equipos de seguridad puedan determinar el alcance, la línea de tiempo y el impacto de una filtración con confianza y no con especulación.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks