📑 Contenido
- Los datos que ahora están en manos de criminales
- Un patrón de negligencia que ya es costumbre
- El Plan Nacional de Ciberseguridad: mucho papel, poca realidad
- ¿Hackeo o filtración interna? La respuesta importa menos que el resultado
- Lo que usted debe hacer (porque el gobierno no lo hará por usted)
- El costo de la inacción
Hackeo masivo en México 2026: Chronus filtra datos del SAT e IMSS de millones de ciudadanos
El grupo Chronus filtró datos del SAT, IMSS y dependencias estatales. El Plan Nacional de Ciberseguridad tiene apenas semanas de publicado.
El 30 de diciembre de 2025, mientras el país se preparaba para recibir el año nuevo, el grupo de hackers Chronus cumplió su amenaza: liberó información de al menos 20 instituciones públicas mexicanas. Entre los datos filtrados hay registros del SAT, del IMSS-Bienestar, de poderes judiciales estatales y de gobiernos de Sonora, Querétaro y la Ciudad de México.
No son números abstractos. Son nombres, domicilios, teléfonos, RFC, CURP, números de seguridad social y, en el caso del IMSS, condiciones médicas y tipos de sangre. Son los datos de millones de mexicanos que confiaron su información al Estado y que hoy están expuestos a fraudes, extorsiones y robo de identidad.
La ironía es imposible de ocultar: el Plan Nacional de Ciberseguridad 2025-2030 fue presentado apenas semanas antes. Ochenta y cinco páginas de buenas intenciones que no sirvieron para evitar uno de los hackeos más graves en la historia reciente del país.
Los datos que ahora están en manos de criminales
El alcance del daño aún se está evaluando, pero los reportes preliminares hablan de bases de datos completas con información fiscal, historiales médicos y expedientes judiciales. En foros de la deep web ya se comercializan estos registros. Este incidente se suma a otro ocurrido apenas meses antes: en diciembre de 2024, un hacker identificado como “iZED” filtró más de 111 mil credenciales de acceso al SAT, incluyendo contraseñas y claves de e.firma. El patrón es claro: las instituciones fiscales y de salud son blancos recurrentes.
¿Qué significa esto para un ciudadano común? Que cualquiera con acceso a esa información puede hacerse pasar por él ante una institución bancaria. Puede solicitar créditos a su nombre. Puede extorsionar a sus familiares con datos precisos sobre su salud o su situación fiscal. Puede cometer fraudes fiscales usando su RFC.
Los pensionados del IMSS son particularmente vulnerables. En septiembre de 2025, ya se había filtrado información de 20 millones de ellos. Ahora, con esta nueva vulneración, el riesgo se multiplica. Se trata de personas mayores, muchas con poca familiaridad con tecnología, que pueden ser blanco fácil de estafas telefónicas donde el delincuente conoce su nombre, su padecimiento y hasta su tipo de sangre.
Un patrón de negligencia que ya es costumbre
Este no es un incidente aislado. Es el capítulo más reciente de una historia de negligencia sistemática.
En 2018, el sistema SPEI del Banco de México fue comprometido. En 2019, Pemex sufrió un ataque de ransomware que paralizó sus operaciones y los atacantes exigieron 5 millones de dólares. En 2022, el grupo Guacamaya extrajo 6 terabytes de información clasificada de la SEDENA —el mayor ciberataque documentado contra el gobierno mexicano—. Ese mismo año, la Secretaría de Infraestructura tuvo que suspender trámites durante dos meses tras un ataque de malware. En noviembre de 2024, el grupo RansomHub publicó información robada del sitio oficial del gobierno federal.
Y ahora, Chronus. Un grupo que desde 2021 acumula más de 1,700 incidentes de seguridad, 26 de ellos contra instituciones públicas mexicanas. No es un actor desconocido. Sus métodos están documentados. Su historial es público. Aun así, logró vulnerar 20 dependencias de un solo golpe.
¿Cuántos hackeos más se necesitan para que el gobierno tome en serio el tema de la ciberseguridad?
El Plan Nacional de Ciberseguridad: mucho papel, poca realidad
El 4 de diciembre de 2025, la Agencia de Transformación Digital y Telecomunicaciones presentó con bombo y platillo el Plan Nacional de Ciberseguridad 2025-2030. El documento prometía convertir a México en un “referente regional en gobernanza de ciberseguridad”. Incluía la creación de un Consejo Nacional de Ciberseguridad, un centro de operaciones unificado y capacidades de detección con inteligencia artificial.
Tres semanas después, Chronus demostró que esas promesas no valen nada si no hay ejecución.
Los especialistas ya habían advertido las fallas. El plan no tiene asignación presupuestal definida. No incluye un cronograma de implementación con hitos medibles. Las responsabilidades entre dependencias son difusas. No aborda la protección de infraestructura crítica privada. Victor Ruíz, director de la firma SILIKN, lo calificó como “un deseo de Navidad, no un proyecto viable”.
El problema de la ciberseguridad en México no es la falta de diagnósticos ni de documentos bien redactados. El problema es la distancia abismal entre el discurso y la acción. Entre los estándares internacionales que se firman y la realidad operativa de los sistemas gubernamentales.
¿Hackeo o filtración interna? La respuesta importa menos que el resultado
La Secretaría Anticorrupción y Buen Gobierno abrió una investigación de oficio. En su comunicado, no descartó que el incidente haya sido causado por “uso indebido de credenciales de acceso” o “una posible filtración interna”. Es decir, que no necesariamente hubo una intrusión externa sofisticada, sino que alguien desde adentro pudo haber facilitado el acceso.
Si ese fuera el caso, la situación sería aún más grave. Significaría que el gobierno no solo no puede protegerse de amenazas externas, sino que tampoco tiene controles internos efectivos. Que cualquier servidor público con acceso a bases de datos sensibles puede extraer información sin que nadie lo detecte a tiempo.
Pero para el ciudadano cuya información ya está circulando en foros criminales, la distinción técnica es irrelevante. El resultado es el mismo: sus datos están expuestos. El Estado falló en protegerlos. Y nadie le va a devolver su privacidad.
Lo que usted debe hacer (porque el gobierno no lo hará por usted)
Ante la incapacidad institucional demostrada, la responsabilidad de protegerse recae —injustamente— en los propios ciudadanos. Estas son las recomendaciones mínimas:
Cambie sus contraseñas. Si usa la misma contraseña para el SAT que para otros servicios, cámbiela inmediatamente. Use contraseñas únicas para cada plataforma.
Active alertas en el Buzón Tributario. Cualquier movimiento inusual en su situación fiscal debe generarle una notificación.
Monitoree su historial crediticio. Consulte regularmente su reporte en Buró de Crédito o Círculo de Crédito para detectar créditos que no haya solicitado.
Desconfíe de llamadas inesperadas. Si alguien lo contacta diciendo ser del SAT, del IMSS o de cualquier dependencia, no proporcione información. Cuelgue y verifique directamente en canales oficiales.
Cuide a los adultos mayores. Si tiene familiares pensionados, adviértales sobre posibles estafas. Los delincuentes pueden usar datos precisos para parecer legítimos.
El costo de la inacción
México registra un promedio de cuatro ciberataques por segundo. En los primeros meses de 2025, se contabilizaron más de 40 mil millones de intentos de intrusión. El país es el segundo más atacado de América Latina, y 2026 será aún más crítico por el Mundial de futbol, que amplía exponencialmente la superficie de ataque.
El gobierno tiene dos opciones. Puede seguir publicando planes que nadie implementa, investigaciones que no sancionan a nadie y comunicados que no resuelven nada. O puede empezar a tratar la ciberseguridad como lo que es: un asunto de seguridad nacional que requiere inversión real, talento especializado y rendición de cuentas.
Mientras tanto, millones de mexicanos cargan con las consecuencias de un Estado que no supo —o no quiso— proteger sus datos. El hackeo de Chronus no es un accidente. Es el resultado predecible de años de negligencia institucional.
La pregunta ya no es si habrá otro ataque. La pregunta es cuándo, y cuántos millones más quedarán expuestos.
Paris Salmerón es Ingeniero en Sistemas Computacionales con estudios de posgrado en Ciberseguridad y en Gobierno y Políticas Públicas. Especialista en transformación digital gubernamental.
Por psalmeron📅 enero 05, 2026⏱️ 🔄 Actualizado hace 5 horas
