Hackeo al SAT, IMSS y Morena filtra datos de más de 36 millones de mexicanos; expertos advierten fallas estructurales en ciberseguridad
El ataque cibernético del pasado mes de enero filtró 2.3 terabytes de información de instituciones públicas y partidos políticos en México
El ataque cibernético que a finales de enero de 2026 derivó en la filtración de 2.3 terabytes de información de instituciones públicas y partidos políticos en México dejó al descubierto fallas estructurales en la estrategia nacional de ciberseguridad, en un contexto marcado por baja legislación, limitada inversión tecnológica y una alta rotación de proyectos y administraciones, de acuerdo con Salles Sainz Grant Thornton.
SAT, IMSS, SEP y Morena: las instituciones afectadas
La firma detalló que el hackeo fue atribuido a un grupo de ciberdelincuentes identificado como Chronus o Cronus, el cual obtuvo y difundió información de dependencias federales, estatales y municipales, así como de institutos políticos.
“La filtración afectó a múltiples instituciones públicas de distintos niveles de gobierno, como el SAT, el IMSS e IMSS Bienestar, la SEP, Secretaría de Salud, así como el Gobierno Federal, gobiernos estatales y municipales, incluido el DIF Sonora. También se vieron afectados partidos políticos, entre ellos Morena, cuyo padrón de afiliados fue expuesto”, recordó.
El domingo pasado, la Comisión Nacional de Seguros y Fianzas (CNSF) también reconoció la vulneración a sus sistemas, la cual, explicó, expuso información a cédulas de intermediarios cuyo contenido es, en su mayoría, de carácter público.
Para Salles Sainz Grant Thornton, el incidente de ciberseguridad ocurrió en un entorno de debilidad institucional en materia digital, lo que amplificó el impacto y la exposición de datos sensibles de millones de personas.
Experto en tecnología y ciberseguridad de Salles Sainz Grant Thornton, Fidel Delgado, señaló que la vulneración se produjo en un momento especialmente sensible para el país, con el inicio del Mundial, periodo en el que se incrementa la actividad digital y la aparición de sitios y aplicaciones apócrifas. Esto advirtió, eleva los riesgos de robo de información, suplantación de identidad y fraude cibernético, tanto para ciudadanos como para instituciones.
Datos personales, médicos y padrones políticos quedaron expuestos
La filtración alcanzó a múltiples entidades públicas de distintos niveles de gobierno y a partidos políticos, entre ellos Morena, cuyo padrón de afiliados fue expuesto.
La magnitud del incidente se conoció después de que el propio grupo de atacantes publicara información en la deep web correspondiente a entre 36 y 36.5 millones de mexicanos, volumen que equivale a los 2.3 terabytes de datos sustraídos.
De acuerdo con Salles Sainz Grant Thornton, la información comprometida incluyó datos personales como nombres completos, domicilios, CURP, RFC, números de seguridad social, teléfonos y correos institucionales. También se vieron afectados datos médicos, registros de programas sociales, bases administrativas completas, el padrón del Sistema de Protección Social en Salud, con 1.8 terabytes, y bases de datos de carácter político, como el padrón de afiliados de Morena integrado por 26 mil 899 militantes.
Falta de informe técnico oficial sobre el hackeo
La consultora subrayó que, hasta ahora, no existe un informe técnico oficial que explique de forma detallada cómo se ejecutó la intrusión. La información disponible proviene de declaraciones gubernamentales, publicaciones del propio grupo Chronus, investigaciones periodísticas y análisis de empresas especializadas, lo que aun así permite identificar patrones claros sobre los posibles vectores de acceso.
Entre los elementos confirmados, destacó el uso indebido de usuarios y contraseñas válidas que permanecían activas en los sistemas, así como la operación con infraestructura digital obsoleta, en algunos casos con más de dos décadas de antigüedad. A ello se suman plataformas heredadas administradas por terceros, con deficiencias en mantenimiento, aplicación de parches y supervisión.
En conjunto, el caso apunta a una combinación de credenciales comprometidas, sistemas sin mantenimiento adecuado, infraestructura fragmentada, protocolos ineficientes y una débil cultura de ciberseguridad.
Para Salles Sainz Grant Thornton, el episodio evidencia que la protección digital en el sector público ya no puede limitarse a soluciones básicas y que resulta indispensable fortalecer la infraestructura, asignar presupuesto, profesionalizar equipos especializados como los centros de operaciones de seguridad y avanzar en marcos legales específicos ante los crecientes compromisos digitales del país.
