← Volver al blog

Los datos médicos de 20 millones de pensionados se vendieron por 50 mil pesos

Febrero 2026 3 minutos Ciberseguridad México

Imagina que alguien tiene tu número de seguridad social, sabe dónde vives, conoce tu nombre completo y hasta sabe que tienes diabetes. Ahora imagina que ese alguien es un estafador y te llama diciendo que es del IMSS.

Esto no es hipotético. Pasó en septiembre de 2025. Los datos de 20 millones de pensionados y jubilados mexicanos —incluyendo su información médica— fueron filtrados y vendidos en el dark web por apenas 50 mil pesos.

No fue un hackeo de películas. Fue un empleado.

Aquí está lo que duele: no fue un ataque sofisticado de hackers internacionales. Fue adentro. El IMSS admitió que fue "una posible filtración por uso indebido de acceso a información institucional por parte de personal". Un empleado —o varios— sacó esos datos y los vendió.

No había sistemas para detener descargas masivas. Sin alertas. Sin controles. Nada.

La realidad es que hasta el 70% de los incidentes de ciberseguridad en gobierno vienen de adentro. Tu información no está segura porque un pirata informático no va a robarla. Está insegura porque alguien que ya tenía acceso decidió venderla.

Qué información fue robada exactamente

Esto es lo grave. No fueron sólo números. Fueron:

  • Nombres completos
  • Direcciones exactas
  • CURP (tu documento de identidad)
  • NSS (número de seguridad social)
  • Padecimientos médicos: diabetes, hipertensión, cáncer, depresión, todo

Una base de datos de 1.4 GB. Se vendió por 50 mil pesos. Para ponerlo en perspectiva: eso es lo que cuesta un viaje a Cancún. Tu información médica, tu ubicación, tu número de seguridad social de 20 millones de abuelas, abuelos, tíos y tías: el precio de un viaje.

El grupo responsable se llama Sc0rp10nn, y ya tenía esos datos en el dark web en septiembre. El periodista Ignacio Gómez Villaseñor lo reportó primero.

Por qué esto es diferente —y peor

Los pensionados son el blanco perfecto. ¿Sabes por qué? Porque estamos hablando de personas que:

  • Muchas viven solas
  • Confían en instituciones (especialmente en el IMSS)
  • Necesitan esa pensión para vivir
  • Ahora un estafador sabe exactamente qué enfermedad tienen

Eso último es lo que te quita el sueño. Cuando un estafador sabe que tienes diabetes, puede armar una mentira que te duele más.

Las estafas que van a venir

Ya está pasando. Espera estas llamadas:

"Señora García, le hablamos del IMSS respecto a su tratamiento de diabetes. Necesitamos actualizar su información bancaria para seguir recibiendo su pensión."

¿Ves cómo funciona? Saben tu nombre. Saben que tienes diabetes. Eso te hace bajar la guardia. Te asusta perder tu pensión. Das tu número de tarjeta.

Otras llamadas van a sonar así:

"Tenemos un medicamento nuevo para el tratamiento que está recibiendo. Es gratuito para afiliados del IMSS. Sólo necesitamos validar su dirección y forma de pago."

O simplemente: "Su NSS se duplicó en el sistema. Necesitamos verificar que sea usted." Y listo. Tienen tu NSS. Lo usan como si fuera verdad.

Lo peor es que suena creíble. Porque usan tu información real. Tu enfermedad. Tu número. Tu dirección.

Qué hacer ahora mismo

Ojo con esto. No esperes a que llegue la llamada.

Habla con tu abuela, tío o padre ahora. Esta semana. No es un sermón, pero es importante que sepa que alguien tiene sus datos.

Creen un código de seguridad familiar. Algo que sólo ustedes sepan. Una palabra, un número, lo que quieran. Cuando el IMSS (o quien diga serlo) llame, tu abuela pregunta: "¿Cuál es el código?" Si no lo saben, cuelga.

Activa filtros de mensajes. Si tu abuela usa WhatsApp o teléfono, que configure filtros para números desconocidos. Rampart te avisa cuando un mensaje parece estafa antes de que lo abras.

El IMSS nunca pide datos por teléfono. Nunca. Si alguien dice ser del IMSS y te pide información bancaria, número de tarjeta o NSS, es estafa. Punto.

Esto tiene que cambiar

Que 20 millones de registros médicos se vendan por 50 mil pesos no es un "problema de seguridad". Es un fracaso del sistema. Es un empleado que cometió un crimen. Es un gobierno que no protegió a sus ciudadanos más vulnerables.

Mientras eso cambia —y spoiler: va a tardar— protégete tú. Protege a tu familia. Hablen ahora. Creen código. Desconfíen de las llamadas que "saben demasiado".

Te lo prometemos: esas llamadas van a venir. Y van a ser más convincentes porque van a usar tu verdadera información. Por eso prepárense ahora.

Investigación del equipo de Rampart, con fuentes de R3D, Xataka México, Infobae y Proceso. rmprt.app

Artículos relacionados

Investigación

Todos los hackeos masivos en México: la investigación completa

Radiografía de cada hackeo en México: SAT, IMSS, Chronus Group, Inferno Leaks y más.

12 minutos
Ciberseguridad México

Hackeo Chronus Group: 36 millones de mexicanos expuestos

El mega hackeo de enero 2026 que expuso datos del SAT, IMSS y 25 instituciones más.

3 minutos
Protección

Por qué bloquear números no te protege de las estafas

Los estafadores usan números desechables. Bloquearlos no sirve. Esto sí.

7 minutos