El 30 de enero de 2026, la Agencia de Transformación Digital y Telecomunicaciones (ATDT), publicó una tarjeta informativa para responder a versiones sobre un acceso no autorizado a sistemas vinculados con información de personal del sector educativo, de salud y del SAT. Su explicación fue: no se vulneró la “infraestructura central”; lo que circuló en Telegram sería información ya compartida antes; el origen estaría en sistemas viejos operados por terceros o gobiernos locales; y se inhabilitaron cuentas con usuarios y contraseñas válidos que estaban siendo mal utilizados.
Con eso intentaron dar por cerrado el tema, pero ese tipo de respuesta hace lo contrario, deja la sensación de que el gobierno quiere que el país dé vuelta a la página sin dar una explicación real, nada nuevo en la política mexicana.
En el Senado, la oposición, en particular el PRI, través de su coordinador Manuel Añorve, pidió la comparecencia del titular de la ATDT, José ‘Pepe’ Merino, para que explique el alcance del incidente y las medidas tomadas. En la bancada de Morena, evidentemente el tema pasó desapercibido.
Lo de las credenciales válidas conlleva preguntas que no caben en esa tarjeta informativa: cuántas cuentas tienen acceso a bases sensibles, quién las autoriza, cuánto tiempo duran activas, qué tan rápido se revocan, qué se audita y cada cuánto se revisa si esos accesos siguen siendo necesarios. Una filtración grande puede empezar por algo tan tonto como permisos que llevaban años, contraseñas recicladas, cuentas “de proveedor” con acceso amplio y cero controles.
La excusa de que la información era “antigua” ayuda poco y complica bastante lo sucedido. Un dato viejo de todos modos es un dato real. Y los fraudes peligrosos se alimentan de datos reales.
Con información auténtica se hace algo llamado spear phishing: correos y mensajes hechos a la medida, con tu nombre, tu institución, tus referencias. La víctima no cae porque sea ingenua o porque no sabe de tecnología; cae porque el mensaje trae detalles correctos y porque el atacante ya no tiene necesidad de inventar nada.
Y no es un riesgo solo teórico. En México, The CIU reporta 13.5 millones de víctimas de phishing y pérdidas promedio de $8,750 pesos por evento; además, en una proporción alta se pierde información del celular (contraseñas, direcciones, fotos, datos personales).
Hay países que reciben ataques por ser potencia tecnológica. México recibe ataques por una mezcla de volumen de usuarios, digitalización acelerada, brechas de control y costos bajos para el delincuente.
Solo para dimensionar: en el primer trimestre de 2025, México registró 35,200 millones de intentos de ciberataques (FortiGuard Labs / Fortinet) y aparece como el segundo país con mayor volumen en América Latina, detrás de Brasil. Fortinet también reportó que, durante la primera mitad de 2024, México concentró alrededor del 55% de los intentos/amenazas registrados en América Latina en ese periodo.
Con estos números, queda claro que lo que dijo la ATDT fue una total evasión descarada.
El argumento de “sistemas heredados operados por terceros” describe que existe una dependencia de proveedores críticos sin controles exigibles. Un gobierno que terceriza tiene que apretar más con inventario real de sistemas; segmentación; registros de auditoría revisados; revocación automática de accesos; autenticación multifactor obligatoria; contratos con métricas de seguridad y auditorías. Esto es básico, todas las empresas privadas serias lo hacen, y si eso no existe, el acceso indebido es una consecuencia natural.
En 2024, el sistema financiero mexicano reportó pérdidas por incidentes cibernéticos por $483.85 millones de pesos, con un salto fuerte frente a 2023, según datos de El Economista y reportes basados en Banxico.
Por otro lado, el fraude está cambiando. El Foro Económico Mundial, en un texto que resume hallazgos del Informe sobre Fraude de Identidad 2025–2026 , describe que el fraude ya no es “crear cuentas” o “suplantar”; se está yendo a la monetización rápida, al punto de pago, a la transacción inmediata.
Y a eso hay que sumarle automatización con IA: identidades sintéticas, interacción en tiempo real con verificaciones y adaptación del ataque en función de resultados. Ya no es un “fraude artesanal”. Además, desde 2025 han salido reportes sobre operaciones de ciberespionaje apoyadas por herramientas de IA con muy poca intervención humana.
Pero este tema no es “tech”, es responsabilidad pública básica. La biometría no se cambia. Si se filtra una contraseña, se reemplaza. Si se filtran huellas, rostro o iris, el ciudadano carga con el problema durante años. Con el historial de exposición, comunicados escuetos y controles opacos, pedir confianza para centralizar biométricos es prácticamente pedir un acto de fe.
Y no nos olvidemos de la famosa y nueva CURP digital. En papel, suena a eficiente y positivo, tal vez en un país escandinavo; en la realidad mexicana, suena a concentración de datos en un aparato que todavía responde con opacidad cuando ocurre un incidente. Si ya existen dudas sobre accesos indebidos a información fiscal, laboral o de salud, es lógico que el ciudadano tema una credencial digital más amplia, conectada a más trámites y usada como llave para más servicios. No es un miedo irracional a la tecnología; se trata de miedo racional al abuso, al fraude.
En vez de tarjetitas, justificaciones de sus legisladores y notas periodisticas para control de daños, lo que se necesita son controles verificables: auditoría externa e independiente con cronología y alcance claros, con un resumen público entendible; MFA obligatorio para todo acceso a datos sensibles; gestión estricta de identidades (rol, tiempo, revocación automática); inventario real de sistemas heredados y proveedores críticos, con calendario de modernización; parches y migración con fechas, presupuesto y responsables; y avisos preventivos a la población cuando hay exposición.
Cualquier directivo serio hoy ya opera con esa lista. El sector privado ya lo aprendió a la mala. El gobierno todavía cree que no lo necesita, o que la gente lo olvida con más programas sociales.
Con el volumen de ataques que recibe México y el tamaño del fraude digital en la vida diaria, la estrategia de nuestro gobierno no alcanza. Si quieren confianza, van a tener que ganársela con operación: controles, auditorías y transparencia útil. Sin eso, nada más es cosa de esperar a que se vuelvan a robar los datos, y rezar que entre ellos no vengan los nuestros.
