Hackeo Chronus Group: 36 millones de mexicanos expuestos
Tu RFC. Tu CURP. Tu dirección. Tus registros médicos. Tu información fiscal. Todo está ahí afuera, publicado en internet por un grupo de hackers. Si eres mexicano, hay una buena chance de que tus datos hayan sido filtrados en lo que pasó a finales de enero. Te lo prometemos: esto es real, es serio, y tienes que saber qué pasó para que no caiggas en las estafas que están a punto de venir.
Qué pasó: el hackeo más grande de México
El 30 de enero de 2026, el grupo hacktivista Chronus publicó 2.3 terabytes de datos robados del gobierno mexicano. Para que visualices lo gigante que es eso: son como 2,300 discos duros llenos de información sobre ti.
Al menos 25 dependencias fueron comprometidas, incluyendo las que literalmente controlan tu vida financiera y médica. No son datos de un solo ministerio. Estamos hablando de un ataque coordinado a toda la infraestructura del gobierno.
¿Cuánta gente afectada? 36 millones de mexicanos. Neta. Eso es casi el 28% de la población del país. Si vives en México, el chance de que tus datos estén en esa base de datos es altísimo.
Qué datos filtraron (y por qué es un desastre)
Esto no es un "oh, se fugó una lista de emails". Estamos hablando de información que los estafadores pueden usar para hacerse pasar por ti completamente.
Del SAT (Servicio de Administración Tributaria): 30.7 millones de registros fiscales, tu RFC completo, cuánto ganas, dónde trabaja la gente. Todo.
Del IMSS-Bienestar: 1.8 terabytes de registros de protección social. Si usaste servicios de salud del gobierno, tus datos de salud están ahí.
Del Instituto Nacional de Perinatología: 494,000 registros clínicos. Información médica sensible de gente que fue a atenderse partos.
Otros datos personales: CURP, direcciones completas, códigos QR de documentos oficiales, información de votación, datos del Censo 2020. También se filtraron registros de los miembros del partido Morena, porque nada se salvó.
¿Por qué es un problema? Con esto, un estafador puede enviarte un mensaje de "SAT" o "IMSS" que parezca completamente real. Tiene tu nombre, tu RFC, tu dirección. Sabe que tuviste una consulta médica. Tú verás el mensaje y dirás "eso parece legítimo" — y te va a meter al siguiente paso de la estafa antes de que te des cuenta.
Protege a tu familia
Tus datos ya están ahí afuera. Rampart analiza cada mensaje para detectar estafas antes de que caigas.
Cómo pasó esto: sistemas de hace 20 años
Chronus no usó un virus sofisticado o una vulnerabilidad de cero días. Usó credenciales viejas. Contraseñas que estaban activas desde hace más de dos décadas. En 20+ sistemas diferentes.
¿Sabes qué no tienen estos sistemas? Autenticación de dos factores. Rotación de contraseñas. Segmentación de red. Son cosas básicas, ojo con esto. Un hacker entra con una contraseña vieja, y tiene acceso a TODO porque no hay barreras internas que lo detengan.
Es como si la puerta principal de tu casa no tuviera cerradura, pero además adentro todas las habitaciones están conectadas sin puertas. Un ladrón entra, y tiene acceso a la cocina, a la recámara, a la sala, a todo.
Qué dice el gobierno (y por qué no tiene razón)
La ATDT (Agencia de Transformación Digital y Telecomunicaciones) salió diciendo que no se publicó "datos sensibles" y que culpaban a "sistemas obsoletos de proveedores privados".
¿Qué dice un experto de seguridad? Víctor Ruiz de SILIKN fue directo: la definición del gobierno de "datos sensibles" no coincide con la realidad. Tu RFC, tu CURP, tu información médica — eso ES sensible, aunque el gobierno diga lo contrario.
Las estafas que vienen (y cómo evitarlas)
Esto es lo que tienes que esperar en las próximas semanas:
Mensajes del SAT personalizados: "Hola [tu nombre], detectamos un problema con tu RFC [TU RFC REAL]. Haz clic aquí para resolverlo". Va a parecer real porque tiene TUS datos. No hagas clic.
Llamadas del IMSS: "Tenemos un registro de tu consulta del [fecha que te atendiste]. Necesitamos confirmar algunos datos". Cuelga. El IMSS no te va a llamar así.
Mensajes de "verificación": Cualquier cosa que diga que necesita que "verifiques" tu identidad es una estafa cuando llega de alguien que no iniciaste contacto tú.
Qué hacer ahora mismo
1. Congela tu crédito: Llama a las principales oficinas de crédito (Equifax, Experian, TransUnion) y pide una congelación de crédito. Sí, por teléfono. Esto detiene que abran cuentas a tu nombre.
2. Activa autenticación de dos factores: En tu correo, en tu cuenta del SAT, en tus bancos, en todas partes donde te dejen. Un estafador puede tener tu contraseña, pero si necesita tu teléfono para entrar, está bloqueado.
3. Revisa tus cuentas regularmente: SAT portal, IMSS, tus bancos. Busca actividad que no reconozcas.
4. Cambia tus contraseñas principales: Si usas la misma contraseña en varios lados, ya sabes que es hora de dejar de hacer eso.
5. Ten cuidado con lo que compartes: Si alguien te llama o te escribe diciendo que es del gobierno, no confirmes datos personales. Cuelga o no respondas, y tú llama directamente al número oficial de la institución (búscalo en su sitio web).
Necesitas el contexto completo
Este hackeo no pasó en el vacío. El gobierno mexicano ha sufrido filtraciones y ataques constantemente. Si quieres la radiografía completa de todos los hackeos que hemos tenido desde 2025, lee nuestra investigación completa sobre hackeos en México.
Y ojo: mucha gente piensa que bloquear números de teléfono va a detener las estafas. No. Cuando el estafador tiene TUS datos, puede venir por email, WhatsApp, SMS, llamada. Bloquear números no te protege de estafas personalizadas — tienes que estar atento.