Egidio
Dossier · 2026

México: filtraciones de datos que alimentan el fraude

No es un incidente aislado ni un problema de una sola dependencia — es una seguidilla de filtraciones documentadas que se convirtieron en materia prima para llamadas y SMS fraudulentos dirigidos a millones de personas.

El vínculo directo con las llamadas y SMS fraudulentos

Una filtración de datos casi nunca se queda confinada a la institución vulnerada. Una vez en circulación —vendida en foros o filtrada en la dark web—, la información que contiene (nombre, CURP, teléfono, y a veces datos médicos o bancarios) se vuelve la materia prima de un estafador que personaliza su acercamiento en lugar de marcar al azar. En México, esta cadena se volvió particularmente visible en 2025, cuando reportes basados en cifras del extinto INAI documentaron al menos nueve filtraciones masivas en un solo año.

Un año de filtraciones documentadas

9+
Filtraciones masivas de datos personales registradas en México durante 2025, afectando información de decenas de millones de ciudadanos.
Reportes basados en cifras del extinto INAI, recogidos por Proyecto Puente, octubre 2025.
36.5M
Personas cuya información quedó comprometida tras el hackeo de al menos 25 dependencias federales, estatales, educativas y políticas por el grupo "Chronus" (2.3 terabytes de datos).
El Financiero, 30/01/2026.

Tres casos individuales ilustran la magnitud de este periodo:

Noviembre 2024
Consejería Jurídica de la Presidencia — ciberataque con exfiltración de más de 200 GB de contratos y datos personales, documentado por R3D (Red en Defensa de los Derechos Digitales).
Abril 2025
InfernoLeaks — una megabase con 700 GB de datos personales de ciudadanos mexicanos (información electoral, fiscal, bancaria y de salud) puesta a la venta en un foro de filtraciones, calificada por R3D como una de las filtraciones más grandes en la historia del país.
Agosto-Septiembre 2025
IMSS — filtración y venta de los datos de 20 millones de pensionados (nombre completo, dirección, CURP, número de seguridad social, fecha de nacimiento, padecimientos médicos y tipo de sangre) por el grupo "Sc0rp10nn", ofrecida en 50 mil pesos. La vulneración se remonta al 9 de agosto de 2025 según R3D.

El caso del IMSS es especialmente sensible porque combina datos de identidad con información médica sobre una población —personas pensionadas— particularmente expuesta a fraudes y extorsión telefónica.

La salud, un blanco aparte

Una filtración de datos de salud no es una filtración cualquiera: a diferencia de una contraseña o una tarjeta bancaria, un historial médico no se puede "resetear". Una vez expuesto, sigue siendo válido de forma indefinida — lo que lo convierte en un dato particularmente buscado en los mercados criminales.

🏥IMSS-Bienestar, dentro del hackeo "Chronus"

El 30 de enero de 2026, el grupo de ciberdelincuentes Chronus filtró 2.3 terabytes de información de al menos 25 dependencias federales, estatales, educativas y políticas. El caso de mayor volumen fue el padrón SPPA (Sistema de Protección Social en Salud) de IMSS-Bienestar: 1.8 TB de archivos que abarcarían datos de más de 3.1 millones de personas beneficiarias, incluyendo validaciones con RENAPO, estatus de afiliación, ubicación geográfica y códigos QR de verificación digital. En conjunto con el resto de las dependencias filtradas (SAT, Morena, universidades tecnológicas estatales), la cifra total estimada llegó a 36.5 millones de personas — cerca de un 28% de la población del país.

El Financiero · R3D · ejecentral, enero-febrero 2026

Nota de método: la Agencia de Transformación Digital y Telecomunicaciones (ATDT) negó públicamente la magnitud del hackeo, argumentando que buena parte del material ya circulaba previamente y que no se detectó penetración de la infraestructura tecnológica gubernamental ni publicación de datos clasificados. La cifra de 36.5 millones proviene de la estimación del propio grupo atacante y de medios que analizaron las muestras filtradas — no de una confirmación oficial equivalente. Igual que en otros países, la revendicación de un atacante y el reconocimiento oficial de una institución no siempre coinciden, y conviene distinguir ambas cosas al leer estas cifras.

🩸Banco de Sangre del IMSS

En mayo de 2026, medios especializados en ciberseguridad reportaron que el sistema del Banco de Sangre del IMSS dejó expuesta —sin necesidad de ningún hackeo sofisticado— información de al menos 3.4 millones de personas que donaron o recibieron sangre en los últimos cinco años: nombre completo, CURP, domicilio, teléfono, correo electrónico, tipo de sangre y padecimientos médicos. Bastaba con modificar un número de CURP en la barra de direcciones del navegador para acceder a los registros de otra persona — el sistema carecía de los candados de autenticación más básicos, el mismo tipo de falla de control de acceso (IDOR) documentada en otros países.

Fortuna y Poder · xeu noticias, mayo 2026

Educación: una crisis que se acumula, no un caso aislado

🏫DGETI: cuatro planteles, miles de estudiantes

Un actor identificado como "marssepe" filtró información de cuatro escuelas públicas de la Dirección General de Educación Tecnológica Industrial (CBTis 76, CBTis 153, CBTis 154 y CETis 44), exponiendo datos de más de 5,000 personas: nombres completos, CURP, fechas de nacimiento, correos electrónicos y teléfonos. La Universidad Nacional Autónoma de México (UNAM) reportó por su parte un acceso no autorizado a cinco de sus sistemas durante el periodo vacacional de finales de 2025 — la universidad afirma que no se comprometieron bases de datos de alumnos, docentes o personal administrativo, aunque investigaciones preliminares apuntaron a un posible acceso a más de 300 mil registros.

Asociación Mexicana de Ciberseguridad · R3D · La Jornada, enero 2026

A inicios de marzo de 2026, Infobae documentó al menos 14 incidentes confirmados de filtración de datos o accesos no autorizados en el sector educativo mexicano en apenas unos meses — universidades públicas, universidades tecnológicas estatales y la SEP incluidas.

Turismo: Aeroméxico y el problema de las cifras que no coinciden

✈️Aeroméxico

El 4 de julio de 2025, el grupo de ciberdelincuentes conocido como ShinyHunters (parte del colectivo "Scattered LAPSUS$ Hunters" / "Trinity of Chaos") accedió a datos de clientes de Aeroméxico, aparentemente a través de una instancia comprometida de Salesforce. El grupo activó un sitio de extorsión en la dark web el 3 de octubre de 2025 y publicó una muestra el mismo mes. Aeroméxico fue una de 39 empresas listadas en ese sitio de extorsión —junto con FedEx, UPS y Adidas, entre otras— con casi mil millones de registros combinados reclamados por el grupo.

Security Affairs · Resecurity · Help Net Security, octubre 2025

Nota de método: los atacantes reclamaron hasta 30-39 millones de registros de clientes de Aeroméxico. Pero la muestra efectivamente confirmada por investigadores de seguridad correspondía a poco más de 2,000 clientes con datos completos (nombre, correo, teléfono, domicilio, fecha de nacimiento, datos de pasaporte y vuelos). La diferencia entre "lo que un atacante afirma poseer" y "lo que efectivamente se ha podido verificar" puede ser enorme — otra razón para tratar con cautela cualquier cifra que provenga únicamente de la parte atacante.

🔒 Una filtración en un sector que a primera vista no tiene nada que ver con tu banco —un plantel escolar, una aerolínea, un banco de sangre— puede parecer intrascendente. Es exactamente el tipo de información que un estafador usa para construir un guion creíble. Ve cómo una filtración se convierte en un guion de estafa.

El vocabulario a conocer

Have I Been Pwned

Servicio gratuito creado por el investigador de seguridad Troy Hunt: escribe tu correo para saber si aparece en una filtración de datos conocida.

Credential stuffing

Un atacante prueba en masa, en otros sitios, credenciales robadas en una filtración anterior — apostando a que reutilizas la misma contraseña en varios lugares.

Password spraying

Lo inverso del ataque de fuerza bruta clásico: se prueba una contraseña muy común en un gran número de cuentas distintas, para pasar desapercibido ante los sistemas de detección.

Fatiga MFA

Un atacante que ya tiene tu contraseña dispara una ráfaga de solicitudes de verificación por notificación push, esperando que termines aceptando por cansancio o error.

El SIM swap, otra técnica ligada directamente a la explotación de datos filtrados, está detallado en el glosario.

🔒 Tus datos pueden haberse filtrado sin que ninguna acción tuya tenga que ver — pero la protección sigue siendo posible después: Egidio reconoce los patrones de llamadas y SMS construidos a partir de datos robados, incluso cuando están personalizados. Ve cómo funciona Medusa.

Preguntas frecuentes

¿Cómo saber si mis datos fueron filtrados en México?

Have I Been Pwned (haveibeenpwned.com) es un servicio gratuito, creado por el investigador de seguridad Troy Hunt, que permite verificar si tu correo electrónico aparece en filtraciones de datos conocidas, incluyendo varias de las registradas en México.

¿México está particularmente expuesto a las filtraciones de datos?

Sí. Solo en 2025 se documentaron al menos nueve filtraciones masivas de datos personales en México que afectaron información de decenas de millones de personas, según reportes basados en cifras del extinto INAI, además de incidentes específicos como el del IMSS (20 millones de pensionados) y la base InfernoLeaks (700 GB de datos).

¿Por qué una filtración de datos lleva a llamadas o SMS fraudulentos?

Porque una filtración suele contener nombre, CURP, teléfono y a veces información médica o bancaria — suficiente para construir una llamada o SMS creíble y personalizado, mucho más efectivo que un mensaje genérico enviado al azar.

¿Por qué los datos de salud son especialmente buscados por los criminales?

A diferencia de una contraseña o una tarjeta bancaria, un historial médico no se puede "resetear" después de una filtración — sigue siendo válido de forma indefinida. Los precios exactos que circulan en foros y en la dark web varían enormemente según la fuente consultada, pero el principio de fondo no cambia: es un dato que nunca caduca.

Para profundizar