Los intentos de irrumpir de manera digital no autorizada a una base de datos de un programa social, como el registrado la semana pasada en las listas del programa “La escuela es nuestra”, ponen en riesgo los datos de sus beneficiarios, afirmó a La Silla Rota la directora de Capa 8, Ana Cecilia Pérez.
“Normalmente esas bases de datos incluyen nombre, dirección, la Clave Única de Registro de Población, números sensibles que pueden ser utilizados para suplantar su identidad, pudieron haber sido manipulados”, explicó.
El acceso a las bases del programa ocurrió el 29 de mayo, que depende de la Secretaría del Bienestar, fue reconocido por la Agencia de Transformación Digital y de Telecomunicaciones (ATDT) la tarde de ese día.
Te podría interesar
La ATDT dio a conocer en una escueta tarjeta informativa que no era un hackeo o vulneración a la plataforma de los Programas del Bienestar.
La agencia reconoció que se detectó un ingreso no autorizado, mediante credenciales con usuario y contraseñas comprometidas, lo cual permitió tener acceso a información de algunos comités escolares de La Escuela es Nuestra.
TAMBIÉN LEE: Ciberdelincuentes roban datos médicos de más de 178 mil personas
Un hackeo es irrumpir de manera no autorizada: experta
La ATDT informó además a La Silla Rota que mientras un hackeo proviene de alguien de afuera para vulnerar la infraestructura e ingresar a los sistemas, de los cuales hay millones que se contienen, un ingreso no autorizado es porque alguien prestó sus credenciales de entrada a una base de datos. Aunque se cerraron los accesos, ya se investiga quién lo hizo, agregó la agencia, encabezada por José Merino.
“Decir que no es un hackeo y que solamente es un acceso no autorizado, es solo semántica. Al final un hackeo lo que busca es precisamente irrumpir de manera no autorizada para obtener una ganancia. Que es exactamente lo mismo”, dijo Pérez a La Silla Rota.
“Falta mayor responsabilidad y claridad de parte del gobierno y de las autoridades con respecto a lo que está ocurriendo en este tipo de incidentes. Ser mucho más explícitos y claros. Todos sabemos que el sexenio pasado no hubo inversión en términos de tecnología y mucho menos de ciberseguridad”, criticó Pérez.
Es un hecho además que hay una tendencia en donde un porcentaje alto de los incidentes de seguridad ocurren por parte de personal interno o por excolaboradores que ya salieron, pero que conocen el manejo dentro de la organización, señaló.
“El hecho de que haya ocurrido este acceso no autorizado sí habla de una vulnerabilidad en términos de protocolos, de controles, de administración y gestión de la información que maneja la secretaría. En lo que llevamos del año, el número de instituciones públicas que han sido vulneradas es muy alto y el número de datos que han sido exfiltrados también”.
Riesgo reputacional
En materia de ciberseguridad, las organizaciones ya sean públicas o privadas siempre tienen riesgos de que su personal interno tenga acceso a información que no es de su competencia, dijo por su parte el investigador de la UNAM, Carlos Tlahuel.
Si bien no es algo generalizado, el riesgo existe y la gente de sistemas a su vez debe de tener sistemas de trazabilidad y rendición de cuentas, donde se puede identificar quién accedió a qué información.
Una situación que se da en organizaciones públicas y privadas es que cuando esto ocurre, no necesariamente hay un daño en la extracción de datos, pero sí perjuicios de manera reputacional que ponen en jaque su misión y visión.
“Si éstas se ven comprometidas, podemos decir que sí es algo grave, pero si no, obviamente habrá impactos reputacionales, incluso en algunos casos en situaciones como bancos de cuestiones de multas, pero si sigue brindando el servicio para lo cual fue creado, no se puede utilizar la palabra crisis, a menos de que se esté poniendo en peligro la misión y la visión de la organización”, recalcó.
Ignora ATDT número de ataques
La Silla Rota pidió a la Secretaría del Bienestar datos sobre este ataque interno. La dependencia respondió que la información debía ser solicitada a la ATDT.
El 2 de marzo, La Silla Rota hizo una solicitud de información a la agencia sobre los ataques cibernéticos que se han registrado desde inicios de 2026 hasta el 28 de febrero, así como del año pasado y cuáles fueron las dependencias más afectadas. También solicitó las medidas tomadas para proteger los datos personales y de las páginas de gobierno.
La respuesta fue que de acuerdo con el artículo 19 del Reglamento Interior de la agencia, la Dirección General de Ciberseguridad no cuenta con atribuciones para generar registros de ataques cibernéticos en las dependencias y entidades de la Administración Pública Federal.
Tampoco administra ni opera la infraestructura tecnológica de la APF, por lo que cada institución “es responsable de la operación, seguridad y gestión de incidentes de sus propios sistemas”.
Ana Cecilia Pérez consideró que el gobierno parece no estar interesado en invertir para proteger las bases de datos y de parte de la ciudadanía hay desconfianza de que su información sea resguardada correctamente y eso se demuestra se demuestra en la baja participación en el registro de celulares.
“A todos nos da miedo registrar información que va a tener el gobierno que no va a saber proteger cuando ya ha estado evidenciado.
Recordó que cuando se creó la Agencia de Transformación Digital, se creó la Dirección de Seguridad, se plantearon muchas estrategias y hace poco volvieron a mencionar que se volvía a reducir el presupuesto para temas y controles de ciberseguridad.
“Nos habla de muy poco compromiso del gobierno con respecto a la información de los ciudadanos y también del lado de nosotros nos falta todavía tener más conciencia del daño que nos pueden hacer con nuestros datos estando en los mercados negros, siendo utilizados para suplantar nuestra identidad, para manipularnos más fácilmente”, concluyó.
Contexto: además del intento de ingreso no autorizado -como definió la ATDT y que otros llamaron hackeo- a la base de datos de la Secretaría del Bienestar, ha habido otros casos.
Este año el Sistema de Administración Tributaria, el IMSS, Petróleos Mexicanos y hasta la UNAM han sido atacadas.
djh