El estudio presenta el panorama de las amenazas cibernéticas que enfrenta el sector público de México con base en los ciberataques exitosos ocurridos entre 2023 y el primer trimestre de 2025. La información se fundamenta en la experiencia de Positive Technologies, en los resultados de investigaciones y en datos de fuentes confiables y autorizadas. 

Estimamos que la mayoría de los ciberataques no se hacen públicos debido al riesgo reputacional que representan. Esto impide calcular con precisión el número exacto de amenazas, incluso para las organizaciones que se dedican a investigar incidentes y analizar las actividades de los grupos de hackers. El objetivo de nuestro estudio es llamar la atención de las empresas y los ciudadanos interesados en el estado actual de la seguridad de la información sobre los métodos y motivaciones más relevantes de los ciberataques, así como para identificar las principales tendencias en el panorama de las ciberamenazas que evoluciona constantemente.

Nuestra base de datos de incidentes se actualiza periódicamente. Cabe señalar que algunos incidentes pueden ser reportados en línea mucho después del momento de haber ocurrido. Así pues, los datos presentados en este estudio reflejan la situación en el momento de su publicación. Los términos empleados en este estudio están disponibles en este glosario del sitio web de Positive Technologies.
 

De acuerdo con nuestros datos, el sector público ha ocupado el primer puesto mundial en número de ciberataques con éxito en los últimos seis años. Las consecuencias de este tipo de ataques pueden ser devastadoras tanto para el Estado como para la sociedad, ya que provocan filtraciones de datos a gran escala y la interrupción del funcionamiento de los servicios críticos. Sin embargo, una protección eficaz de los sistemas gubernamentales no solo protege la información y los recursos, sino que también ayuda a reforzar la confianza de los ciudadanos en las instituciones gubernamentales. México, por su parte, es uno de los países más propensos a los ciberataques en América Latina, y las agencias gubernamentales se encuentran entre sus 5 principales industrias atacadas.

• Los sectores más atacados en México son las entidades gubernamentales (29 %), las organizaciones financieras (14 %), la industria (9 %) y el comercio (7 %). Estos sectores manejan información y recursos críticos, lo que las hace atractivas para los atacantes. La motivación económica también desempeña un papel importante, ya que en estas zonas pueden obtenerse importantes beneficios mediante la extorsión u otras formas de actividad delictiva.
• El método más común de ciberataque contra las agencias gubernamentales mexicanas es el uso de malware (71 %). Se prevé que la tasa de éxito de los atacantes que utilizan este método de ataque siga creciendo en 2025, debido a la creciente popularidad de varios modelos de negocio por suscripción, como RaaS (Ransomware-as-a-Service) y MaaS (Malware-as-a-Service), que facilitan los ciberataques y reducen el umbral de entrada para los atacantes menos experimentados.
• En los ataques contra el sector público, los autores recurren con mayor frecuencia a encriptadores (40 %) y a malware de acceso remoto (40 %), mientras que el uso de programas espía contra organismos gubernamentales es menos frecuente (7 %). Es probable que esta tendencia continúe, ya que los atacantes prefieren las herramientas versátiles que les permitan alcanzar múltiples objetivos en un solo ataque.
• Durante el periodo analizado, la proporción de ataques DDoS contra el sector público en México sigue siendo pequeña (5 %). Presumiblemente, esto se debe, entre otras cosas, a la ausencia de conflictos geopolíticos activos y a la motivación predominantemente económica de los grupos que operan en el país. Se prevé que el número de estos ciberataques se mantenga al mismo nivel en 2025–2026. 
• Una de las principales consecuencias de los ciberataques en el sector público de México es la interrupción de la actividad principal de las organizaciones, registrada en el 57 % de los casos. El objetivo de los ciberdelincuentes suele ser causar interrupciones en los servicios gubernamentales, robar el acceso a infraestructuras y datos críticos e inutilizar equipos. Estos ataques pueden estar motivados tanto por intereses económicos como por posturas políticas.
   

México es uno de los líderes de la digitalización en América Latina. A principios de 2025, el número de usuarios de Internet en México alcanzó los 110 millones y una tasa de penetración del 83,3 %, mientras que en 2024 la tasa de penetración de toda la región fue del 74,6 %. 

Uno de los pilares clave de la digitalización es el crecimiento del comercio electrónico. En este sentido, en 2024, México ocupó el segundo lugar en ingresos por comercio en línea de América Latina, con una cuota de mercado superior al 26 %. El rápido crecimiento del sector del comercio electrónico, uno de los principales motores de la economía del país, lo convierte en un blanco atractivo para los ciberdelincuentes con fines económicos, dada la magnitud del potencial de ganancias.

Otro factor clave en el nivel de digitalización del país es el impulso de nuevas tecnologías y la escala de la inversión en estas áreas. Por ejemplo, Microsoft ha anunciado una inversión de 1 300 millones de dólares destinada a expandir su infraestructura de IA y computación en la nube en México durante los próximos tres años. Los fondos se utilizarán para llevar las nuevas tecnologías a las pequeñas y medianas empresas, así como para apoyar la iniciativa gubernamental de capacitación en IA, que llegará a unos 5 millones de personas. Esto podría convertir a México en pocos años en el principal centro tecnológico de América Latina. 

Estas inversiones cuentan con el apoyo del gobierno de México, que está integrando activamente tecnologías prometedoras en sus procesos. Un ejemplo destacado es el impulso del Internet de las Cosas (IoT, por sus siglas en inglés), cuyo impacto es visible en sectores clave como la administración pública y la industria. El IoT permite gestionar grandes volúmenes de datos, incluidos los recogidos en tiempo real, lo que facilita la automatización de procesos y incrementa la productividad y optimiza el uso de recursos. En las grandes ciudades, como Ciudad de México, Guadalajara y Monterrey, se están llevando a cabo proyectos innovadores, que incluyen sistemas inteligentes de gestión del tráfico, monitoreo de la calidad del aire y el agua y gestión de la energía.
 

Las estrategias e iniciativas de desarrollo digital desempeñan un papel clave en la digitalización efectiva, ya que proporcionan una hoja de ruta para la integración de la tecnología en diferentes ámbitos. Estas iniciativas contribuyen a acelerar la adopción de las nuevas tecnologías, mejorar las infraestructuras, elevar la competitividad del país y fomentar la innovación en el sector público y privado.

La digitalización activa en México comenzó en 2012, cuando se creó la Coordinación de Estrategia Digital Nacional. Desde entonces, el Estado ha dado pasos significativos en línea con los objetivos relacionados con la transformación digital. El crecimiento del sector de la tecnología financiera ha sido posible, en gran medida, gracias al marco regulatorio proporcionado por la Ley de Tecnología Financiera. Esta ley ha posicionado a México como líder en tecnología financiera de América Latina, lo cual ha generado nuevas oportunidades para startups y soluciones innovadoras.
A continuación se presentan las políticas e iniciativas que más han contribuido al desarrollo digital de México.

Ante los crecientes niveles de digitalización en México —al igual que en otros países— la industria tecnológica se enfrenta a nuevos retos y problemas. El acelerado desarrollo de las tecnologías de la información y la comunicación ha elevado la ciberseguridad a un tema de alta prioridad.

Las iniciativas, políticas y normativas en materia de ciberseguridad son fundamentales para crear un sistema eficaz de protección de datos e infraestructuras. Estos instrumentos constituyen la base para un enfoque sistemático de la prevención de amenazas y la seguridad en el espacio digital. En un contexto caracterizado por la constante evolución tecnológica, disponer de este tipo de marcos normativos ayuda a responder con rapidez a los nuevos retos y amenazas. A continuación se presenta una lista de los principales documentos que regulan la ciberseguridad en México:

México no tiene una sola ley de ciberseguridad, sino que muchos documentos diferentes, como leyes federales, reglamentos y normas, rigen las cuestiones de seguridad. Estos instrumentos abarcan diversos ámbitos, como la protección de datos personales, las telecomunicaciones, las actividades financieras y el derecho penal. En consecuencia, el marco jurídico y normativo de la ciberseguridad sigue estando fragmentado. No obstante, el país trabaja activamente para mejorarla, incluida una iniciativa para crear una “Ley Federal de Ciberseguridad”.

La formación de especialistas en ciberseguridad también es clave para protegerse contra las crecientes amenazas del mundo digital. Un personal cualificado no solo protege los datos y la infraestructura, sino que también desarrolla estrategias para prevenir los ataques. La falta de estos profesionales puede acarrear graves consecuencias, por lo que es necesario invertir en su capacitación para garantizar la seguridad en el entorno digital. México está desarrollando activamente asociaciones estratégicas para capacitar a profesionales cualificados en ciberseguridad. Por ejemplo, T-System, una empresa europea de servicios digitales y tecnologías de la información, ha desarrollado una nueva estrategia de capacitación con la Universidad Autónoma de Puebla. El programa tiene como objetivo proporcionar conocimientos teóricos y prácticos avanzados en ciberseguridad y ciencia de datos, lo que supone un paso importante hacia la creación de capacidad de recursos humanos para combatir las ciberamenazas.

A pesar de la introducción de diversas iniciativas de ciberseguridad, los ciberataques exitosos contra las organizaciones en México continúan, y el país sigue siendo uno de los países más atacados de América Latina y el Caribe. Debido a ello, es importante tanto revisar y actualizar periódicamente las leyes y políticas de ciberseguridad como desarrollar nuevos métodos de protección. Esto incluye la adopción de tecnologías innovadoras, la mejora de los algoritmos de seguridad y la adaptación a las ciberamenazas en constante cambio. La mejora de los planteamientos de protección de datos e infraestructuras, junto con la actualización de la normativa, nos permiten responder eficazmente a los nuevos retos y garantizar un alto nivel de seguridad en el mundo digital.

La transformación digital ha tenido un impacto positivo en el desarrollo del país, ya que facilita el acceso a los servicios y aumenta la eficiencia de diversos procesos. Sin embargo, este avance también ha abierto numerosas oportunidades para que los atacantes ejecuten ciberataques. 

Cabe destacar que casi un tercio de los ataques (29 %) se dirigieron contra organismos gubernamentales. Esto se debe al gran atractivo del sector: un ataque exitoso contra el sector público puede resultar rentable tanto desde un punto de vista económico —mediante el cobro de rescates, venta de accesos o de información confidencial— como desde un punto de vista simbólico, al representar una victoria reputacional entre grupos delictivos o una oportunidad para enviar un mensaje político.

El método más empleado por los atacantes en los ciberataques contra organizaciones mexicanas es el uso de malware, involucrado en la mayoría de los ciberataques exitosos (80 %). Según nuestros datos, la popularidad de este método está aumentando a nivel mundial (un 60 % de los incidentes utilizaban malware en 2023, frente a un 66 % en el cuarto trimestre de 2024 – primer trimestre de 2025). Una de las principales razones de esta tendencia es la versatilidad y facilidad de implementación del malware. Este tipo de software automatizado permite llevar a cabo una gran variedad de actividades maliciosas, desde la ejecución remota de código hasta el cifrado y el robo de datos. Gracias a esto, los atacantes pueden reducir el esfuerzo técnico y centrarse en la planificación de los ataques, el desarrollo de campañas de phishing dirigidas y la explotación de la información robada. Todo indica que esta tendencia continuará en 2025, ya que el uso de este tipo de software tiene un umbral de entrada bajo y ofrece funcionalidades muy útiles para el atacante.

Como resultado de la prevalencia del malware, las organizaciones se están convirtiendo en objetivos de ataques globales no dirigidos. Un ataque no dirigido supone que los atacantes no seleccionan un objetivo específico, sino que se dirigen a un amplio abanico de organizaciones o usuarios utilizando métodos de distribución masiva para propagar el malware. Las organizaciones que no son necesariamente el objetivo principal de los atacantes pueden estar en peligro si sus sistemas son vulnerables. La escala de estos ataques suele ser enorme, ya que afectan a varias empresas al mismo tiempo, lo que los hace especialmente peligrosos. Un ejemplo de este tipo de ataque es la propagación del nuevo troyano SteelFox, que comenzó en agosto de 2024. En noviembre de 2024, este malware se había detectado más de 11 000 veces en todo el mundo, aunque no estaba dirigido contra organizaciones o usuarios concretos. Este malware se propaga a través de foros, rastreadores de torrents y blogs, haciéndose pasar por software popular como AutoCAD, JetBrains y productos Foxit, y una vez instalado, recopila datos bancarios de los sistemas infectados. Debido al alcance global de la campaña y a la diversidad de los métodos de distribución, no ha sido posible atribuir con precisión este ataque a un grupo específico de ciberdelincuentes.

Otro método popular para llevar a cabo ciberataques en México es la ingeniería social, que se utilizó en casi la mitad (49 %) de los ataques exitosos contra el sector público. A diferencia, por ejemplo, de la explotación de vulnerabilidades técnicas, la ingeniería social se centra en el factor humano y se aprovecha de la confianza, la curiosidad o la falta de atención de los empleados. El éxito de los ataques de ingeniería social puede dar lugar al robo de datos confidenciales, el acceso a cuentas o la instalación de programas maliciosos, lo que supone una grave amenaza para la seguridad de una organización. 

La mayoría de las veces, la ingeniería social se utiliza junto con troyanos de acceso remoto: en primer lugar, los atacantes engañan a una persona para que realice acciones que les den acceso a la infraestructura y, a continuación, introducen el malware. El escenario más común de este tipo de ataques es el envío de correos electrónicos de phishing con archivos adjuntos maliciosos, que asciende a un 49 % de todas las infecciones por malware. Los atacantes suelen utilizar como cebo documentos relacionados con organismos gubernamentales o acontecimientos políticos de actualidad. Por ejemplo, en febrero de 2024, los ciberdelincuentes distribuyeron correos electrónicos de phishing con temática fiscal a empresas industriales mexicanas para entregar el infosecuestrador Timbre Stealer. 

En una cuarta parte de los ataques (25 %), los atacantes aprovecharon vulnerabilidades existentes en los sistemas. El éxito de estos ciberataques depende a menudo de la presencia de software obsoleto y de problemas en la configuración de los sistemas. Un ejemplo paradigmático es un incidente ocurrido en agosto de 2024, cuando la organización criminal de la Mafia Mexicana logró hackear el sitio web del Tribunal Supremo de México y acceder a bases de datos que contienen las credenciales de más de 300 000 usuarios e información confidencial sobre las operaciones del tribunal entre 2017 y 2024. 

Continuando con los ataques, el 30 de marzo de 2024, la organización criminal publicó datos de la Policía Estatal de Oaxaca. Más tarde, el 3 de abril, hackeó el sitio web oficial del gobierno del estado de Oaxaca y publicó una imagen suya. La organización continuó sus ataques el 4 de abril, subiendo una canción a la web gubernamental que permaneció en la página durante al menos siete horas.
 

Casi la mitad de los ciberataques exitosos a organizaciones en México (42 %) se llevan a cabo utilizando encriptadores, una de las principales herramientas del ransomware. En México operan grupos con motivaciones económicas, y RansomHub sigue siendo uno de los más destacados en el mercado de la extorsión. Así, en octubre de 2024, este grupo asumió la responsabilidad del ciberataque contra el operador de 13 aeropuertos en México y prometió publicar 3 TB de datos robados si no obtenían el rescate.

Además, los ciberdelincuentes recurren a menudo al uso de malware de acceso remoto. En los ciberataques que utilizan malware contra organizaciones en México, estos representaron el 38 %. Una herramienta común para el acceso remoto es AllaKore RAT. En enero de 2024, salieron a la luz dos años de ataques continuos que utilizaban AllaKore RAT contra grandes empresas mexicanas. Para propagar el troyano, los atacantes utilizaron técnicas de phishing selectivo y ataques “Drive-by”, en los que el código malicioso se descarga automáticamente en los dispositivos de los usuarios que visitan sitios web infectados. El objetivo eran empresas con ingresos superiores a 100 millones de dólares, según la motivación económica de los atacantes.

Los principales resultados de los ataques a las organizaciones mexicanas fueron la filtración de información confidencial y la interrupción de las principales operaciones empresariales, lo cual concuerda con la tendencia general de ataques contra organizaciones en América Latina y el Caribe, donde estos efectos se produjeron en el 59 % y el 40 % de los casos, respectivamente.

Más de la mitad de los ataques (54 %) tuvieron como consecuencia la filtración de información confidencial. Las filtraciones de datos personales, información gubernamental o secretos comerciales pueden acarrear importantes pérdidas económicas a particulares y organizaciones. Por ejemplo, la filtración de datos bancarios puede derivar en fraudes con tarjetas de crédito o el robo directo de fondos, mientras que la pérdida de información sobre secretos de Estado o instalaciones militares no solo puede amenazar la seguridad de un país, sino también escalar a conflictos internacionales. A menudo, este tipo de datos termina circulando en la web oscura, lo que agrava las consecuencias al aumentar los riesgos financieros, reputacionales y de seguridad.

La segunda consecuencia más común (36 %) de los ataques a organizaciones mexicanas fue la interrupción de las actividades principales de las organizaciones. Este tipo de incidentes puede afectar gravemente a los sistemas corporativos, paralizar procesos empresariales, retrasar entregas y provocar pérdidas de datos. Estos eventos no solo afectan la continuidad del negocio, sino que también provocan pérdidas económicas significativas y dañan la reputación de la organización, lo que compromete su sostenibilidad a largo plazo. Un ejemplo de este tipo de ataque es el incidente a la entidad bancaria mexicana Caja Popular Mexicana, que comprometió sus operaciones e interrumpió el acceso de los usuarios a los servicios bancarios. El incidente fue de tal magnitud que la Comisión Nacional inició una investigación formal: la interrupción de la actividad afectó, entre otras cosas, al funcionamiento de los cajeros automáticos y del sistema de pagos y se prolongó durante tres meses.

La introducción de tecnologías modernas en diversos sectores y esferas de la vida ha transformado significativamente la forma en que operan las instituciones gubernamentales. Esta evolución mejora la interacción con la ciudadanía y las empresas y optimiza los servicios públicos. En este contexto, la digitalización del Estado representa un paso fundamental hacia una gobernanza más transparente, accesible y eficiente. Las áreas clave del desarrollo digital en el sector público mexicano incluyen:

Servicios públicos digitales

Una de las áreas clave de la digitalización es la creación de la administración electrónica, que proporciona a los ciudadanos acceso a diversos servicios e información de la Administración a través de un portal único. Para hacer realidad esta visión, se ha desarrollado una plataforma bajo el dominio común gob.mx, que conecta a casi 300 entidades gubernamentales, 32 gobiernos estatales y las principales ciudades. La plataforma permite a los ciudadanos presentar documentos, obtener declaraciones y certificados por vía electrónica, realizar trámites fiscales y recibir información útil, lo que reduce el tiempo de espera y simplifica el proceso de prestación de servicios. Ya en 2020, alrededor del 90 % de las transacciones gubernamentales podían iniciarse en línea y el 75 % podían completarse digitalmente. Además de los servicios web, México está desarrollando activamente aplicaciones móviles para facilitar el acceso a los servicios públicos. Una de estas aplicaciones es MiConsulmex, que proporciona a los ciudadanos acceso a diversos servicios y recursos gubernamentales, así como asistencia consular. 

El gobierno mexicano impulsa activamente el modelo de datos abiertos, que permite a la ciudadanía y a las organizaciones acceder a información sobre las actividades de los organismos públicos. Los datos abiertos de la Administración desempeñan un papel importante a la hora de hacer la información más transparente y accesible para los ciudadanos y las empresas. Hasta ahora ya se han elaborado varias políticas nacionales en este ámbito, destinadas a estimular el desarrollo de la economía digital y mejorar la prestación de servicios públicos. Como parte de dichas estrategias, se creó el portal datos.gob.mx para dar acceso a datos gubernamentales abiertos, facilitando así una mayor participación ciudadana en los asuntos públicos.

Si bien la transición de los organismos públicos hacia entornos digitales ha traído consigo mejoras significativas en eficiencia, calidad y accesibilidad, también ha generado nuevos desafíos en materia de ciberseguridad. La adopción de tecnologías emergentes genera nuevas vulnerabilidades que pueden aprovecharse para hackear sistemas, robar datos o corromperlos. Además, el creciente volumen de información procesada y el avance hacia los servicios en línea han incrementado los riesgos para la seguridad nacional. Esto exige el desarrollo de métodos de protección más sólidos y una mayor concienciación sobre las posibles amenazas.
 

Inteligencia artificial

La digitalización de la administración pública en México abre nuevos horizontes para mejorar la eficiencia y la calidad de los servicios. En este contexto, la IA se está consolidando como una de las herramientas clave de esta transformación, y ya se aplica en diversos ámbitos del sector público para ayudar en la toma de decisiones y anticipar acontecimientos.

Uno de los principales ejemplos de implantación de la IA en la administración pública es el uso de esta tecnología en los sistemas del Ministerio de Hacienda. En este caso, la IA contribuye a detectar transacciones fraudulentas analizando los patrones de comportamiento de los usuarios y las transacciones. Este enfoque no solo permite una respuesta más rápida a las actividades sospechosas, sino que también evita pérdidas financieras al Estado y a los ciudadanos.

En el sector sanitario, la IA también se utiliza de forma activa. La Secretaría de Salud de México ha comenzado a aplicar algoritmos de IA para detectar trastornos mentales como la depresión y la anorexia a través del análisis de datos de las redes sociales. Esto permite un diagnóstico precoz y ofrece las medidas de apoyo necesarias a los ciudadanos, lo que es especialmente relevante en un contexto de acceso limitado a los servicios sanitarios.

En el proceso de implantación de la IA desempeñan un papel importante las normativas que regulan el uso de la IA teniendo en cuenta las normas éticas y la protección de los datos personales. Según la revista jurídica The National Law Review, a principios de 2024 había 29 proyectos de ley relacionados con la IA pendientes en el Congreso mexicano. Estas iniciativas buscan establecer un marco jurídico que logre un equilibrio entre la innovación y la protección de la privacidad de los ciudadanos. Los esfuerzos del gobierno de México por implementar la IA en diversas áreas colocaron al país en el tercer lugar entre los países latinoamericanos en el Índice de Preparación Gubernamental para la introducción de la IA en 2023. Esto demuestra que el país está trabajando activamente para crear las condiciones necesarias para el uso de la IA, lo que incluye tanto el desarrollo de la tecnología como la formación del entorno jurídico.

El uso de la inteligencia artificial (IA) en el sector público abre nuevas oportunidades, pero también aumenta los riesgos de ciberataques. Los sistemas de IA pueden volverse vulnerables a manipulaciones, lo que podría dar lugar a decisiones erróneas, filtraciones de datos o interferencias en los procesos automatizados. Esto resulta especialmente riesgoso en áreas como la seguridad, la sanidad y la economía. Por lo tanto, es fundamental desarrollar protecciones sólidas que minimicen los riesgos y garanticen la seguridad en el uso de la IA dentro de los organismos públicos.

Macrodatos

Los macrodatos (Big Data) desempeñan un papel clave en la digitalización del sector público, ya que permiten realizar análisis más precisos y tomar decisiones mejor fundamentadas. La recopilación y el procesamiento de grandes volúmenes de datos facilitan una mejor gestión de los recursos, la anticipación de necesidades en distintos sectores y una mayor eficiencia en los servicios públicos. El uso de macrodatos en ámbitos como la sanidad, la educación o el transporte contribuye a optimizar procesos y a mejorar la calidad de vida de la población. 

Por ejemplo, la red de vigilancia de la calidad del aire de Ciudad de México utiliza macrodatos para proporcionar a los residentes información en tiempo real sobre la contaminación. Este sistema no solo informa al público, sino que también permite a los responsables políticos tomar medidas oportunas para controlar la contaminación, como restringir temporalmente el tráfico de vehículos y fomentar el uso del transporte público.

Guadalajara también se está convirtiendo en un ejemplo de uso con éxito de los métodos de análisis de macrodatos en la planificación urbana. Los urbanistas utilizan herramientas analíticas avanzadas para recopilar y analizar información sobre diversos aspectos de la vida urbana, desde los flujos de tráfico hasta el comportamiento social de los ciudadanos. Estos datos permiten tomar decisiones que fomentan un uso eficiente del territorio y mejoran la calidad de vida de los ciudadanos. Por ejemplo, al analizar los patrones de desplazamiento de los residentes, las autoridades pueden optimizar las rutas del transporte público, mejorar la infraestructura peatonal y desarrollar nuevas zonas urbanas de acuerdo con las necesidades de la población.

El uso de macrodatos en el sector público ofrece importantes oportunidades para mejorar la gobernanza y la toma de decisiones. Sin embargo, también conlleva riesgos significativos relacionados con la ciberseguridad. El almacenamiento masivo y el procesamiento de información sensible convierten estos datos en un objetivo atractivo para los ciberataques. Estos ataques pueden provocar filtraciones de datos personales, manipulación de la información o fallas en los sistemas. Por esta razón, es importante establecer mecanismos sólidos de protección de datos y garantizar la seguridad en todas las fases del tratamiento de la información en los organismos públicos.

El método más común en los ciberataques contra las agencias gubernamentales mexicanas es también el uso de malware (71 %). Esta tendencia no solo se da en México, sino en todo el mundo, lo que pone de manifiesto la universalidad y eficacia del malware como herramienta para los ciberdelincuentes.

Por ejemplo, en noviembre de 2024 se detectó un gran ciberataque que hackeó la web oficial del gobierno federal mexicano y robó 313 GB de datos. RansomHub, un grupo de ransomware que utiliza software basado en RaaS en sus ataques, asumió la responsabilidad del ataque. Según los delincuentes, entre la información robada figuraban contratos, documentos de seguros, estados financieros y otros archivos confidenciales. Este incidente pone de manifiesto la necesidad de reforzar las medidas de seguridad para proteger los datos de ciudadanos y organismos públicos, especialmente con la digitalización del sector público.

El uso de modelos de negocio de malware por suscripción, como RaaS (Ransomware-as-a-Service) y MaaS (Malware-as-a-Service), se observa con frecuencia en todo el mundo. Estos servicios simplifican los ciberataques, ya que proporcionan a los atacantes soluciones listas para lanzar ataques, incluso sin tener profundos conocimientos técnicos. Además, rebajan el umbral de entrada a la ciberdelincuencia, lo que permite a cada vez más personas —incluidas personas sin experiencia— utilizar diversos programas maliciosos. Esto está provocando un aumento de los ciberataques e incrementando su diversidad y complejidad, lo que a su vez crea mayores amenazas para la seguridad de las organizaciones, entre ellas el sector público.

Los encriptadores (40 %) y los troyanos de acceso remoto (40 %) son los tipos de ataque más utilizados por los agresores. Esta tendencia es común tanto en el sector público mexicano como en el de otros países. En cambio, el spyware, muy utilizado en ciberataques contra organizaciones estatales a nivel mundial (22 %), es mucho menos común en México (7 %). sto se debe a que en el ciberespacio mexicano predominan los delincuentes con motivaciones económicas: los encriptadores y los troyanos son sus herramientas más comunes, mientras que el spyware suele ser característico de los grupos progubernamentales.

Por otro lado, la explotación de vulnerabilidades es el segundo método más común en los ciberataques dirigidos a agencias gubernamentales mexicanas (33 %). Este dato difiere ligeramente de la tendencia general en el país, donde la ingeniería social ocupa el segundo lugar (49 %) y la explotación de vulnerabilidades el tercero (25 %). 

En el caso específico del sector público en México, la ingeniería social representa el tercer porcentaje más alto de ciberataques exitosos (19%). El método más común de uso de la ingeniería social es el envío de correos electrónicos maliciosos. Por ejemplo, en abril de 2024 se dio a conocer una campaña de phishing a gran escala dirigida a una gran variedad de industrias en América Latina, incluidos organismos gubernamentales mexicanos. El grupo TA558 APT fue el responsable del ciberataque, que utilizaba correos electrónicos de phishing como vector de acceso inicial para instalar en los sistemas de las víctimas el troyano Venom RAT, que permite el control remoto de los sistemas y la recopilación de información confidencial.

El uso de ataques DDoS en ciberataques contra agencias gubernamentales mexicanas es poco común (5%), una cifra que contrasta significativamente con la tendencia global, donde el DDoS se utiliza en uno de cada cinco (18%) ciberataques exitosos contra organizaciones gubernamentales. El menor número de ataques DDoS podría deberse a la ausencia de conflictos militares activos y al hecho de que es más probable que los ciberdelincuentes presentes en el país tengan una motivación financiera y busquen formas de lucrarse, por ejemplo, mediante la extorsión o el robo de datos. En contextos sin conflictos armados, los ataques DDoS suelen ser menos frecuentes, ya que su objetivo es causar interrupciones temporales, más que generar ganancias directas. Al mismo tiempo, los ciberdelincuentes suelen evitar los ataques DDoS y prefieren métodos más eficaces que les permitan robar dinero directamente sin tener que dedicar recursos a ataques prolongados.

Los atacantes que están detrás de los ciberataques al sector público pueden tener diferentes motivaciones:

• Ciberespionaje. El ataque se utiliza para espiar u obtener información importante. 
• Ideología. Ciberdelincuentes que actúan por motivos ideológicos o para demostrar sus habilidades. Pueden tener una motivación política, pues los ataques pueden, por ejemplo, tratar de minar la confianza en los organismos gubernamentales o crear inestabilidad en el país.
• Beneficio económico. Los atacantes llevan a cabo ataques para obtener beneficios materiales, como la extorsión o el robo de datos para venderlos más tarde. 

A menudo se dan situaciones en las que es imposible definir con claridad los motivos de un grupo: sus acciones oscilan entre el hacktivismo y la ciberdelincuencia con motivaciones económicas, lo que impide conocer sus verdaderos motivos. Un ejemplo de este tipo de grupo es el relativamente joven FuncSec, que en enero de 2025 reivindicó un ataque contra el sitio web del gobierno de la ciudad mexicana de Zapopan. El grupo surgió a finales de 2024 y rápidamente llamó la atención por sus tácticas agresivas y el número de entidades afectadas: en menos de un mes de actividad cibercriminal, los atacantes se cobraron más de 80 víctimas. Según un estudio de Check Point, FunkSec probablemente utiliza la IA para crear malware, y también ha desarrollado un bot diseñado para apoyar su actividad maliciosa.

Curiosamente, en marzo de 2025, el mismo recurso del gobierno de Zapopan fue atacado por el grupo extorsionista Babuk. Esto demuestra el interés de los atacantes por el sector público y puede indicar la ineficacia de las medidas adoptadas para hacer frente a las vulnerabilidades. El sitio web del gobierno de Zapopan sirve de portal para que los ciudadanos accedan a diversos servicios e información del gobierno, y un ciberataque exitoso que utilice ransomware podría interrumpir estos servicios, vulnerando datos confidenciales y socavando la confianza pública en el gobierno.

En algunos casos, un ciberataque puede parecer a primera vista un ataque de extorsión, pero en realidad detrás hay una motivación y unos participantes completamente distintos. Así lo demostró claramente el ciberataque a la fiscalía del estado mexicano de Nuevo León. En diciembre de 2024 se produjo una filtración de datos que vulneró unos 13 000 archivos. La investigación reveló que el hacker actuaba en nombre de un funcionario de una agencia gubernamental que dio al grupo de ciberdelincuentes acceso a un sistema interno. Esta acción estuvo motivada por el deseo del empleado de vengarse de sus superiores.

A su vez, los ataques de los hacktivistas pretenden llamar la atención sobre cuestiones sociales o políticas. Estas acciones pueden estar provocadas por cualquier desacuerdo ideológico, pero la mayoría de las veces buscan llamar la atención sobre cuestiones sociales o políticas. Por ejemplo, en junio de 2024, el Instituto Nacional Electoral de la Ciudad de México (IECM) reportó múltiples ciberataques ocurridos durante el recuento preliminar de los resultados de las elecciones al jefe de gobierno. Los atacantes utilizaron un ataque DDoS que envió una enorme cantidad de tráfico falso a los servidores del instituto, lo que provocó la sobrecarga y el fallo del sitio web del IECM.

Estos incidentes no solo debilitan la capacidad operativa de las instituciones del Estado e impiden la prestación de servicios a los ciudadanos, sino que también socavan la confianza pública en el Estado. Por ejemplo, en agosto de 2024, el grupo de hackers Ethersec Team Cyber llevó a cabo un ciberataque a la página web del gobierno de la ciudad mexicana de Tepetlaoxtoc, donde publicaron un mensaje. Esto provocó que los residentes no pudieran obtener los servicios gubernamentales necesarios, lo que a su vez pudo afectar negativamente a la percepción pública de la eficacia de la ciberseguridad gubernamental.

Un 28% de los ataques exitosos al sector público de México se atribuye a operadores de encriptadores, de los cuales el 75% tiene una motivación económica, es decir, atacan para obtener ganancias materiales y no solo para causar daños. Estos suelen cifrar datos con el fin de interrumpir procesos gubernamentales críticos, lo que requiere una acción gubernamental inmediata y aumenta las posibilidades de obtener el pago del rescate. Por ejemplo, en abril de 2023, la Comisión Nacional del Agua de México sufrió un ciberataque por parte del ransomware BlackByte, que cifró documentos y exigió un rescate. Los atacantes infectaron equipos informáticos en diversas partes de la organización, cifraron archivos de los últimos 15 años y provocaron la interrupción de su servicio de correo.

Los ciberataques dirigidos al sector público pueden tener graves consecuencias. Entre los principales riesgos se encuentran la filtración de información confidencial y la interrupción de sistemas y servicios gubernamentales, lo cual puede debilitar la confianza de la ciudadanía en las instituciones. Como consecuencia, pueden disminuir la confianza tanto de la población como de los socios internacionales, lo que crea riesgos adicionales para la estabilidad de la sociedad y afecta negativamente al clima de inversión y a las oportunidades de cooperación internacional.

En México, como en el resto del mundo, los efectos más comunes de la ciberdelincuencia en el sector público han sido la desestabilización de infraestructuras críticas (57%) y la filtración de datos (52%). A continuación, analizaremos con mayor detalle estos impactos y los objetivos que los ciberdelincuentes suelen perseguir al atacar a organismos gubernamentales.

Uno de los impactos más significativos de los ciberataques en el sector público mexicano (57%) es la interrupción de las operaciones centrales de las instituciones. Los atacantes suelen tratar de causar interrupciones del servicio, la pérdida de acceso a infraestructuras y datos críticos y la inutilización de equipos. EEl objetivo principal de estos ataques es generar caos y desestabilizar las instituciones gubernamentales, lo cual puede acarrear consecuencias graves que afecten directamente a la vida de los ciudadanos y al funcionamiento de la economía nacional. Incluso una interrupción de corta duración de los servicios públicos puede generar graves consecuencias, lo que convierte a estos sistemas en blancos atractivos debido a la criticidad de sus procesos. Los ciberdelincuentes suelen emplear encriptadores en sus ataques contra el sector público de México que provocan interrupciones prolongadas en las operaciones básicas de los organismos gubernamentales. Por ejemplo, en mayo de 2023, el sistema de gobierno de Tulancingo sufrió un ciberataque que suspendió los servicios fiscales y del registro público hasta que el sistema se restableció por completo. Como resultado, los residentes de la ciudad no pudieron realizar trámites como el pago de impuestos sobre la tierra y el registro de títulos de propiedad. Este incidente ejemplifica cómo los ciberataques pueden paralizar funciones gubernamentales clave y tener un impacto directo en la ciudadanía.

Las filtraciones de datos representan otra amenaza importante para la seguridad del Estado; este tipo de incidentes se produjeron en uno de cada dos (52%) ataques con éxito contra organismos gubernamentales mexicanos. Los ciberdelincuentes suelen dirigir sus ataques a las bases de datos de los organismos públicos para obtener información sobre los ciudadanos, registros financieros y otra información confidencial. Estos datos pueden utilizarse para el chantaje con peticiones de rescate, el espionaje, pero lo más frecuente es que dicha información se venda posteriormente en foros especializados de la web oscura. La filtración de información confidencial puede tener efectos devastadores en procesos críticos del Estado.

El interés de los atacantes por los datos sensibles se ve confirmado por los datos de web oscura: una parte predominante de los anuncios está vinculada con bases de datos (59%).

Cuando las organizaciones gubernamentales se pasan a las plataformas digitales, se vuelven vulnerables a las ciberamenazas. Estos sistemas almacenan grandes volúmenes de información sensible. La filtración de estos datos puede provocar eventos inadmisibles¹, como amenazas a la seguridad nacional, pérdida de confianza de los ciudadanos en los organismos gubernamentales e incluso pérdidas económicas. 

El principal objetivo de los atacantes durante el periodo analizado fueron los datos personales, que pueden incluir información tanto de ciudadanos como de funcionarios públicos: su porcentaje fue del 44%.  Esto podría estar relacionado con la actividad de los extorsionadores de la región, quienes buscan acceder a información confidencial para llevar a cabo chantajes.

1. Un evento inadmisible se define como aquel que imposibilita la consecución de los objetivos operativos y/o estratégicos de la organización, o que provoca una interrupción significativa de su actividad principal.

En mayo de 2024 se informó que las contraseñas de los usuarios de la plataforma Llave CDMX, la principal herramienta digital para la gestión de documentos y servicios, habían sido vulneradas. La filtración de datos afectó a 6,3 millones de usuarios y expuso información sensible como el nombre completo, el número de registro, la dirección de correo electrónico, la fecha de nacimiento y el número de teléfono móvil. Los documentos que los usuarios almacenaban en sus cuentas personales quedaban a disposición de cualquiera que accediera a esas contraseñas. Además, el 5 de abril de 2024 los delincuentes anunciaron un exitoso ciberataque al sitio web del gobierno de Copalillo en el que lograron robar una base de datos. Esta contiene 50 000 registros con información personal, incluidos nombres, fechas de nacimiento, información médica, grupos sanguíneos, direcciones residenciales, datos de contacto, fotografías y firmas.

En uno de cada cuatro ciberataques exitosos, los atacantes mostraron interés en secretos comerciales (28%). Ello se debe al especial valor de estos datos para las organizaciones y, en consecuencia, para los atacantes. Con frecuencia, estos datos se publican posteriormente en la web oscura. Por ejemplo, el 6 de febrero de 2025, un sitio clandestino dio a conocer datos del departamento de tecnologías de la información del Ayuntamiento de Pachuca que incluían información de empleados, documentos, reportes de fallas y equipos dañados, así como datos de infraestructura desde enero de 2012 hasta enero de 2025. Una de las teorías que se barajan en relación con el incidente es la posibilidad de que un empleado de la organización estuviera implicado en el ataque, lo que pone aún más de relieve la necesidad de reforzar las medidas de seguridad internas de los organismos gubernamentales.

Las siguientes medidas pueden mejorar la ciberseguridad en el sector público de México:

• Desarrollo del marco normativo y jurídico en el ámbito de la ciberseguridad. Dado el avance constante en digitalización y la incorporación de nuevas tecnologías, es fundamental revisar y actualizar periódicamente la estrategia nacional de ciberseguridad. Además, es necesario desarrollar nuevas iniciativas que incluyan aspectos prácticos de protección y verificación de los sistemas gubernamentales, como actualizaciones periódicas de software, corrección de vulnerabilidades y ajustes de configuración adecuados. También pueden establecerse protocolos de ciberseguridad obligatorios para todos los empleados de las organizaciones gubernamentales. Esto permitirá crear un método unificado para la seguridad de la información y se concienciará a los empleados sobre las ciberamenazas.
• Un enfoque integral de la protección de las infraestructuras de información. La protección efectiva de las infraestructuras críticas requiere un enfoque global que contemple soluciones modernas, proactivas y coordinadas. Se recomienda utilizar escáneres de vulnerabilidades con una base de datos amplia y actualizada periódicamente junto con soluciones NTA para detectar intentos de intrusión de atacantes en la infraestructura. Además, se recomienda fortalecer las medidas de autenticación de certificados y aplicar políticas de gestión de aplicaciones más estrictas para protegerse de los ciberataques a certificados EV. Este planteamiento garantizará la rápida detección de los atacantes en las primeras fases de un ciberataque y permitirá responder a tiempo a los incidentes.
• Mejora de la competencia digital de los empleados públicos. En México, los atacantes continúan realizando ciberataques en los que utilizan técnicas de ingeniería social para manipular a los empleados de las organizaciones. Esto pone de manifiesto la necesidad de mejorar la competencia digital de los trabajadores del sector público. Invertir en capacitación y desarrollar programas educativos sobre ciberseguridad es un paso clave para reforzar las defensas contra los ciberataques. La ciberdelincuencia evoluciona constantemente, por lo que los programas de desarrollo profesional deben incluir los escenarios de ataque actuales y los métodos para protegerse de ellos. Realizar simulaciones de ciberataques puede ser una gran herramienta para practicar las habilidades de respuesta a incidentes.
• Monitoreo y respuesta a incidentes. Para minimizar los riesgos y prevenir los incidentes cibernéticos, es necesario crear un centro de amenazas centralizado. La tarea de principal de un centro de este tipo es la recopilación y el análisis automatizados de información sobre sucesos potencialmente peligrosos. Esto permitirá el monitoreo en tiempo real y la rápida identificación de actividades sospechosas o anomalías que puedan indicar ciberataques. Los incidentes recientes en los que no se pudo identificar el origen del pirateo, ya fuera por parte de un empleado interno o de un atacante externo, ponen de relieve la necesidad de implantar sistemas de vigilancia eficaces. Estos sistemas deben proporcionar un seguimiento continuo de las actividades de los empleados y de las conexiones de dispositivos de terceros para permitir la detección oportuna de comportamientos anómalos.
• Cooperación internacional. Con el fin de contrarrestar eficazmente las ciberamenazas, es crucial desarrollar la cooperación internacional a la hora de compartir información sobre posibles amenazas y buenas prácticas, así como organizar un sistema de ciberformación conjunta. Además, la participación en conferencias y foros internacionales crea oportunidades únicas para el intercambio de conocimientos y experiencias entre especialistas de distintos países. Esto no solo facilita el debate sobre temas de actualidad desde distintas perspectivas, sino que también permite desarrollar las estrategias más eficaces a la hora de combatir las ciberamenazas.