1. La Noticia: El Hackeo Masivo de Diciembre 2025
El 30 de diciembre de 2025, México cerró el año con una de las peores crisis de ciberseguridad de su historia. El grupo de hackers conocido como Chronus vulneró los sistemas de al menos 20 instituciones públicas federales, estatales y municipales, liberando de manera masiva información sensible de millones de ciudadanos.
Entre las instituciones afectadas se encuentran el Servicio de Administración Tributaria (SAT), el Instituto Mexicano del Seguro Social (IMSS), el Poder Judicial de Sonora y Querétaro, el Tribunal de Justicia Administrativa de la Ciudad de México, y las Secretarías de Salud de Tlaxcala y Sinaloa.
Lo más alarmante: no se trata de bases de datos antiguas. Son millones de registros activos y descargables que comprometen la seguridad fiscal, médica y física de la ciudadanía mexicana. Información actualizada hasta diciembre de 2025 que ahora circula en la dark web, disponible para quien quiera comprarla.
La Secretaría Anticorrupción y Buen Gobierno, encabezada por Raquel Buenrostro, inició investigaciones de oficio. Sin embargo, la respuesta institucional ha sido tibia: mientras analizan si fue un hackeo o "uso indebido de credenciales", los datos de millones de mexicanos ya están expuestos.
2. El Problema: La Fragilidad Estructural de la Ciberseguridad Gubernamental
Este incidente no es aislado. México se ha convertido en el segundo país más atacado de Latinoamérica y el cuarto a nivel mundial en ciberataques.
Aumento de ciberataques a gobierno en 2025
+260%
El 70% de las instituciones presenta vulnerabilidades significativas
Las consecuencias para los ciudadanos son devastadoras:
- Robo de identidad: Con CURP, RFC y fotografía de INE, cualquier criminal puede suplantar tu identidad.
- Fraudes bancarios y fiscales: Obtener créditos a tu nombre, desviar devoluciones de impuestos.
- Extorsión directa: Especialmente grave para funcionarios de seguridad cuyas direcciones y datos familiares quedan expuestos.
El patrón se repite una y otra vez. En 2022 fueron los "Guacamaya Leaks" con 6 terabytes de información de la Sedena. En 2023, ataques de ransomware a Conagua. En 2024, hackeos a fiscalías estatales. En 2025, Chronus. La pregunta no es si habrá otro ataque masivo, sino cuándo.
3. Las Razones: Por Qué las Instituciones Públicas No Protegen Tus Datos
3.1 Capital humano inexistente
México tiene un déficit de 260,000 profesionales en ciberseguridad. En todo el país, solo existen 401 personas certificadas con CISSP, la credencial más reconocida internacionalmente.
| Institución | Ingenieros de Seguridad | Comparación |
|---|---|---|
| Pemex (empresa más grande del país) | 5 | Gravemente insuficiente |
| Un banco privado mexicano | 150 | 30 veces más que Pemex |
Los pocos profesionales capacitados huyen al sector privado, donde ganan entre 40 mil y 300 mil pesos mensuales. O emigran a Estados Unidos y Canadá, donde el mismo puesto paga entre 160 mil y 440 mil pesos. ¿Quién va a trabajar para el gobierno ganando una fracción?
3.2 Infraestructura tecnológica obsoleta
Muchas dependencias gubernamentales todavía operan con Windows 7, un sistema operativo sin soporte desde 2020. Análisis de seguridad han detectado más de 10,000 equipos gubernamentales con este sistema vulnerable.
No aplican parches de seguridad. No actualizan software. No implementan autenticación de dos factores, algo gratuito y básico que cualquier usuario de Gmail tiene activado. Las contraseñas son débiles, compartidas, y cuando un empleado se va, nadie desactiva sus accesos.
3.3 Presupuesto ridículo y cero consecuencias
Presupuesto federal para tecnologías de la información
< 0.5%
Una de las proporciones más bajas en décadas
La Guardia Nacional, responsable de la ciberdefensa del país, ha recibido solo dos cursos de capacitación en la materia, por los que pagó menos de medio millón de pesos.
No existe una ley de ciberseguridad que obligue a proteger datos ni castigue la negligencia. Cuando ocurre un hackeo, las autoridades minimizan, investigan sin transparencia, y todo sigue igual hasta el próximo ataque.
4. Crítica a la Agencia de Transformación Digital: Prioridades Equivocadas
Mientras los hackers roban millones de datos ciudadanos, ¿en qué se enfoca la Agencia de Transformación Digital y Telecomunicaciones (ATDT)? En construir Coatlicue, una supercomputadora de 6,000 millones de pesos que promete ser "la más poderosa de América Latina".
El proyecto suena impresionante: 14,480 GPUs, 314 mil billones de operaciones por segundo, capacidad equivalente a 375,000 computadoras convencionales. La presidenta Claudia Sheinbaum la presentó como "la supercomputadora del pueblo de México".
Y mientras tanto, la realidad:
- El grupo Chronus hackea 20 instituciones públicas sin esfuerzo
- El SAT y el IMSS no pueden proteger datos básicos de millones de ciudadanos
- Las dependencias operan con Windows 7 sin soporte desde 2020
- Pemex tiene 5 ingenieros de seguridad (un banco privado tiene 150)
- No implementan autenticación de dos factores, algo gratuito y básico
Inversión en Coatlicue
$6,000 M
¿Cuánto para ciberseguridad básica? Menos del 0.5% del presupuesto
La ATDT también pretende regular a empresas privadas, obligándolas a cumplir requisitos tecnológicos y de protección de datos que el propio gobierno es incapaz de implementar. ¿Con qué autoridad moral? ¿Con qué credencial técnica?
Lo que deberían hacer primero:
- Proteger los datos de los ciudadanos antes de construir supercomputadoras.
- Invertir en ciberseguridad básica: actualizar sistemas, aplicar parches, activar autenticación multifactor.
- Contratar profesionales certificados con salarios competitivos, no mandarlos a formarse al extranjero.
- Predicar con el ejemplo antes de exigir cumplimiento a las empresas.
- Dejar de regular lo que no entienden y no practican.
Coatlicue puede esperar. Los datos de 130 millones de mexicanos que ya fueron filtrados, no. Primero lo básico: que no nos hackeen.
5. La Solución: Microsoft Fabric como Plataforma de Seguridad y Gobernanza de Datos
Ante este panorama desolador, existen soluciones tecnológicas probadas que podrían transformar la gestión de datos en el sector público. Una de ellas es Microsoft Fabric, una plataforma unificada de análisis y gobernanza de datos con capacidades de seguridad integradas.
¿Qué es Microsoft Fabric?
Microsoft Fabric es una plataforma integral que unifica el almacenamiento, procesamiento y análisis de datos en un solo entorno. Pero más allá del análisis, ofrece herramientas robustas de seguridad y gobernanza que podrían resolver muchos de los problemas estructurales del gobierno mexicano.
Capacidades de seguridad relevantes para el sector público
- Gobernanza centralizada: Control unificado sobre quién accede a qué datos, eliminando la fragmentación actual donde cada dependencia maneja su propia (in)seguridad.
- Control de accesos granular: Permisos específicos por usuario, rol y tipo de dato. Cuando alguien deja la institución, su acceso se revoca automáticamente.
- Monitoreo y auditoría en tiempo real: Detección de comportamientos anómalos, intentos de acceso no autorizado y extracción masiva de datos antes de que sea demasiado tarde.
- Cifrado de extremo a extremo: Protección de información confidencial tanto en tránsito como en reposo.
- Integración con Microsoft Defender: Detección de amenazas con inteligencia artificial, respondiendo automáticamente a ataques conocidos.
Ventajas para instituciones mexicanas
| Ventaja | Problema que resuelve |
|---|---|
| Elimina la fragmentación | Una plataforma unificada con estándares consistentes en lugar de cientos de sistemas desconectados |
| Reduce dependencia de expertos | La automatización permite operar con equipos más pequeños sin sacrificar seguridad |
| Cumplimiento normativo | Políticas de protección de datos implementadas de forma consistente |
| Escalabilidad en la nube | Sin inversión en infraestructura propia que nadie actualiza ni mantiene |
| Actualizaciones automáticas | Microsoft aplica parches continuamente, eliminando sistemas obsoletos |
6. Conclusiones: El Camino hacia Adelante
El hackeo de Chronus no será el último. Mientras el gobierno mexicano siga operando con sistemas obsoletos, personal sin capacitación, presupuestos miserables y prioridades equivocadas, los datos de millones de ciudadanos seguirán siendo botín fácil para cualquier grupo criminal con conocimientos básicos de hacking.
La urgencia es real. Cada día que pasa sin acción es un día más de exposición. Los datos filtrados no se pueden "desfiltrar". El daño a las víctimas de robo de identidad es permanente.
Primero la seguridad, después los proyectos de relumbrón. Coatlicue costará 6,000 millones de pesos y tardará dos años en construirse. Mientras tanto, ¿quién protege los datos del SAT, del IMSS, de las fiscalías? No se necesita una supercomputadora para implementar autenticación de dos factores o actualizar Windows 7. Se necesita voluntad y sentido común.
Primero la seguridad, después la regulación. La ATDT y el gobierno en general deben entender que no tienen credibilidad para exigir estándares de ciberseguridad a empresas privadas cuando sus propios sistemas son un colador. Hay que predicar con el ejemplo.
La solución existe. Plataformas como Microsoft Fabric ofrecen herramientas probadas para gobernar y proteger datos sensibles. No es necesario inventar nada nuevo, solo implementar lo que ya funciona en el sector privado y en gobiernos de otros países.
Fuentes: Reportes de ciberseguridad 2025, INEGI, análisis independientes | Análisis: GDI | Enero 2026
La ciberseguridad no es un gasto, es una inversión. Y en México, es una deuda pendiente con cada ciudadano cuyos datos han sido expuestos por la negligencia institucional.
¿Quieres proteger los datos de tu institución?
Conoce cómo Microsoft Fabric puede ayudar a implementar gobernanza y seguridad de datos en el sector público.
Explorar Soluciones