- El Instituto niega que se trate de un hackeo, pero señala posible filtración por uso indebido del personal
Nombre, dirección, CURP, Número de Seguridad Social y padecimientos de alrededor de 20 millones de pensionados del IMSS, entre otros datos personales, están a la venta en la dark web, espacio de internet que permite ocultar la identidad y ubicación de los usuarios.
En entrevista con EL UNIVERSAL, Ignacio Gómez Villaseñor, periodista especializado en ciberseguridad y quien dio a conocer el caso el 12 de septiembre, afirmó que el grupo de hackers que robó dichos datos, denominado Sc0rp10nn, le confirmó su venta en 50 mil pesos y que aún la ofrece al mejor postor. Al respecto, en una postura solicitada por este rotativo al Seguro Social, el instituto negó que haya sido pirateada alguna base de datos de pensionados, pero informó sobre “una posible filtración por el uso indebido de acceso a información institucional por parte de personal”.
Sin embargo, no es la única vulneración que ha sufrido el IMSS.
Solamente en 2025, sus bases de datos han sido hackeadas en tres ocasiones; en una de ellas se robaron 56 millones de registros de derechohabientes, según datos de expertos en ciberseguridad.
Gómez Villaseñor dijo que el robo de los datos de millones de pensionados los expone a ser potenciales víctimas de extorsión, suplantación de identidad u otros delitos, ya que puede ser adquirida por el crimen organizado en el mercado negro.
“Se filtran padecimientos médicos, nombres, CURP, fechas de nacimiento y, básicamente, es como un coctel de información para poder realizar fraude y datos de extorsión, incluso. Entonces, es sumamente grave. Por ejemplo, el tipo de sangre, incluso, para cuestión de tráfico de órganos”.
Explicó que dichos datos se venden en la dark web por cantidades insignificantes comparadas con la información obtenida, por lo que es fácil acceder a la misma.
“Muchas veces se cree que estas bases se suelen vender en muchísimos millones y la verdad es que no, es por unos cuantos miles de pesos, puedes acceder a los registros, a veces incluso pueden vender por consultas específicas, es decir, si tú quieres ver los datos de una persona en específico que están dentro de esta base de datos, suelen cobrar nada más por la visualización de ese dato”, detalló.
Gómez Villaseñor advirtió que el robo de información de los hackers es real, ya que ha dado seguimiento a sus actividades y en su historial hay otros ataques cibernéticos confirmados. Por ejemplo, el año pasado vulneraron la ciberseguridad del C5 de Hidalgo y de la fiscalía de Nuevo León, que posteriormente reconoció la sustracción de información. “Este hacker siempre suele publicar toda la evidencia de los ingresos, de cómo están los sistemas, de cómo se está visualizando la información, yo desde ese momento me percaté que era bastante real. Además de que Sc0rp10nn lleva ya varios ataques y no me he enterado de ninguno que no sea cierto.
“Lo que creo es que había logrado vulnerar al IMSS desde hace algún tiempo, y estaba esperando un momento adecuado para poder filtrar la información”, detalló.
La semana pasada expuso otro hackeo, pero a la base de datos de la selección de médicos del IMSS Bienestar en San Luis Potosí; son 4.7 gigabytes con información sensible de todos los galenos que participaron en el proceso de contratación.
“Estoy hablando de más de 4 gigabytes de todos los documentos, de los que están pidiendo trabajo, de los doctores. Venían, incluso, hasta cuántas parejas sexuales había tenido cada uno de ellos, su currículum, análisis médicos, todo su historial de parte de IMSS Bienestar. Hace dos días, todavía se podía visualizar toda la información de los doctores, y es bastante grave porque pueden hacer actos de extorsión contra ellos, es todo un expediente enorme de cada una de las personas que contendió por una de las vacantes del IMSS Bienestar”, explicó.
Hace días, como parte del monitoreo diario que hace a la dark web y la clearnet (internet de acceso público), Gómez Villaseñor también confirmó el hackeo y venta de 80 millones de registros con datos personales en posesión del Infonavit.
“Me enteré por parte de otro actor malicioso, u otro hacker, que me confirmó la vulnerabilidad. Los datos siguen a la venta, no sé si se haya vendido o no, pero por lo menos sí sé que los están comercializando de manera activa. Yo también vi la información y, por lo menos, una muestra bastante grande de más de mil registros que indicaba que todo era real”, expresó.
