Ante la presunta filtración de datos y vulneración de sistemas de entidades públicas, el Instituto de Ciberseguridad aseguró que, hasta ahora, no existe un informe forense público que permita atribuir de forma definitiva el vector de intrusión ni el impacto en las entidades afectadas.
Especialistas del ICS, con presencia en Monterrey, Querétaro y Ciudad de México, indicaron que -es necesario esperar a la respuesta forense por parte de las instituciones- ya que actualmente los análisis y conclusiones actuales se basan en patrones históricos y en el modus operandi de incidentes similares, y no en una atribución técnica confirmada.
Bajo este enfoque, ICS reconoce que, si bien los escenarios que pudieron facilitar el acceso no autorizado incluyen el posible compromiso de credenciales válidas, obtenidas mediante campañas previas de phishing, reutilización de contraseñas o adquisición en mercados clandestinos, sin que existieran controles robustos de detección temprana o mecanismos de autenticación reforzada, la evaluación preliminar debe mantener la cautela.
“La transparencia temprana y responsable fortalece la confianza y reduce el impacto social del incidente. Los incidentes de ciberseguridad representan pruebas de madurez institucional. La diferencia no radica únicamente en evitar incidentes —algo improbable en entornos complejos—, sino en cómo se previenen, gestionan y comunican, priorizando siempre la protección de las personas”, indicó el ICS en un reporte sobre las supuesta vulneraciones cibernéticas a entidades públicas.
Los analistas en materia de ciberseguridad de ICS recordaron que el 31 de enero de 2026, el grupo de amenaza identificado como Chronus anunció públicamente la supuesta filtración y difusión de aproximadamente 2.3 terabyres (TB) de información, correspondiente a 25 instituciones, incluyendo dependencias gubernamentales federales, estatales y municipales, así como entidades no gubernamentales.
La información sobre el supuesto incidente se originó a través de publicaciones del presunto actor de amenaza en foros de la dark web y redes sociales, a partir de los cuales se generan reportes en redes y que trascienden a algunos medios de comunicación que han tomado como fuente a los propios ciberdelincuentes.
El incidente también generó una reacción de la Agencia de Transformación Digital y Telecomunicaciones (ATDT) responsable de las directrices de la Política Nacional de Ciberseguridad con la que se busca crear un ecosistema digital seguro, proteger datos gubernamentales y garantizar los derechos digitales.
La ATDT calificó a la presunta vulneración cibernética como un “supuesto” evento y señaló que la información correspondía, en su mayoría, a datos previamente circulados, descartando – hasta el momento – una vulneración directa de sistemas centrales.
Por ello, ICS hace énfasis en la importancia de analizar y diferenciar entre la veracidad de la información y la amenaza así como entre los análisis técnicos externos que buscan confirmar la existencia de datos expuestos, pero que no tienen una atribución forense completa.
“Este análisis es clave para evitar conclusiones prematuras y para mantener un análisis técnico responsable”, aseguró el ICS.
Los eventuales riesgos
El ICS no descarta, sin embargo, que la Agencia de Transformación Digital y las entidades involucradas en un eventual hackeo tengan que definir si el evento se generó a partir de configuraciones débiles o sistemas obsoletos, incluyendo falta de parches de seguridad, servicios expuestos innecesariamente a Internet o ausencia de autenticación multifactor (MFA), especialmente en entornos heredados o con dependencias tecnológicas antiguas.
También deberán observar si el uso de sitios web desactualizados o componentes web vulnerables, tales como gestores de contenido (CMS), plugins, librerías o frameworks sin soporte o con vulnerabilidades conocidas, pudieron ser explotadas para obtener acceso inicial, escalar privilegios o facilitar la exfiltración de información.
Aún más, se tendrá que definir si se registran deficiencias en el monitoreo y la correlación de eventos, particularmente en arquitecturas descentralizadas, donde accesos anómalos o actividades sospechosas pueden permanecer activos durante periodos prolongados sin ser detectados ni contenidos oportunamente.
La referencia institucional a “accesos inhabilitados posteriormente”, de la Agencia de Transformación Digital, sugiere un enfoque predominantemente reactivo, en el que la revocación de accesos ocurre después de la identificación pública o interna del incidente, incrementando el riesgo de exfiltración sostenida de información antes de la contención efectiva.
Por ello, de confirmarse la legitimidad y actualidad de los datos expuestos, las afectaciones potenciales podrían incluir afectaciones a personas usuarias, a la ciudadanía, lo que podría erosionar la confianza de la ciudadanía en los servicios digitales institucionales.
También podría generarse la exposición de datos personales y datos personales sensibles, como identificadores oficiales, información de contacto y registros asociados a servicios públicos.
También existe el riesgo de un incremento significativo del riesgo de suplantación de identidad, fraude financiero y campañas de ingeniería social altamente dirigidas. En los escenarios también se encuentran posibles impactos a la seguridad personal y privacidad, particularmente en sectores sensibles como salud o programas sociales.
Sin embargo, dado que el volumen y la vigencia de los datos no han sido plenamente confirmados, el riesgo debe analizarse bajo un principio de máxima precaución y responsabilidad.
En septiembre de 2025, el gobierno de Estados Unidos emitió orden de ciberseguridad al detectar una campaña activa de un grupo de heckers avanzados dedicado a atacar dispositivos Cisco. Por ello, las autoridades de Estados Unidos ordenaron a las agencias gubernamentales reforzar la seguridad de sus redes y sistemas.
Hasta ahora, sólo algunas dependencias supuestamente afectadas en el gobierno federal han emitido comunicados sobre las acciones posteriores a la supuesta afectación. La Sociedad Hipotecaria Federal aseguró que activó los protocolos de análisis, contención y mitigación y que se mantiene en contacto con los posibles afectados. Mientras tanto, la Comisión Nacional de Seguros y Fianzas señaló que la exposición de datos en su portal corresponde a información de carácter público; sin embargo, también aseguró que iniciaría los protocolos para mitigar el incidente.