¿Qué hackeos masivos ha sufrido México en 2025 y 2026?

México ha sufrido al menos 9 filtraciones masivas en 2025, incluyendo Inferno Leaks (701 GB de datos electorales, bancarios y fiscales), la filtración de 20 millones de pensionados del IMSS, y el mega hackeo de Chronus Group en enero 2026 que expuso 2.3 terabytes de datos de 25 instituciones gubernamentales afectando a 36 millones de mexicanos.

¿Qué datos míos fueron filtrados en los hackeos de México?

Dependiendo de la filtración, los datos expuestos incluyen: nombres completos, CURP, RFC, número de seguridad social (NSS), domicilios, teléfonos, correos electrónicos, historial crediticio, información médica, afiliación política y datos fiscales del SAT.

¿Qué estafas puedo esperar después de los hackeos en México?

Después de estas filtraciones, los estafadores usan tus datos reales para hacer estafas más creíbles: mensajes del SAT con tu RFC real, llamadas del IMSS mencionando tu NSS, WhatsApps con el nombre de tus familiares, ofertas de crédito usando tu historial, y estafas relacionadas con el Mundial 2026.

Tus datos ya fueron filtrados: todos los hackeos masivos en México y lo que viene

Febrero 2026 12 minutos Investigación

Vamos a ser directos: si vives en México, hay una probabilidad altísima de que tus datos personales ya estén en manos de criminales. Tu nombre. Tu CURP. Tu RFC. Tu dirección. Tu número de seguridad social. Posiblemente hasta tu historial médico.

No es exageración. Entre 2024 y los primeros meses de 2026, México ha sufrido una cadena de hackeos y filtraciones masivas que, juntas, han expuesto los datos de decenas de millones de personas. No hablamos de un solo incidente aislado. Son al menos nueve filtraciones masivas solo en 2025, afectando a más de 100 millones de registros.

Y lo peor no es que se robaron los datos. Lo peor es lo que viene después: las estafas personalizadas que van a llegar a tu celular usando tu información real.

Este artículo es un recorrido completo por cada hackeo, cómo ocurrió, qué datos se filtraron, y las estafas concretas que tienes que esperar. Porque si entiendes qué saben de ti, puedes prepararte.

El contexto: México bajo asedio digital

Antes de los hackeos individuales, hay que entender la escala del problema. México recibe cuatro ciberataques por segundo. Solo en el primer semestre de 2024, el país registró más de 31 mil millones de intentos de ciberataque, el 55% de toda Latinoamérica según datos de Fortinet.

Un dato que da escalofríos: el 80.7% de las organizaciones gubernamentales mexicanas sufrieron al menos un compromiso de seguridad en el último año, según SILIKN. Y el 70% de esos incidentes no fueron de hackers externos. Fueron de empleados internos.

Y para colmo, en marzo de 2025 se extinguió el INAI, el organismo que se encargaba de proteger tus datos personales. Su reemplazo, una unidad dentro de la Secretaría Anticorrupción y Buen Gobierno, fue hackeada a los pocos meses de crearse, exponiendo datos de miles de aspirantes a empleos del gobierno.

Con ese panorama, pasemos a lo que se robaron.

Hackeo por hackeo: qué pasó, cómo lo hicieron, y qué datos se llevaron

1. Inferno Leaks (febrero 2025)

Qué pasó: Un vendedor de datos conocido como InjectionInferno puso a la venta en la dark web lo que llamó "la base de datos más grande de México": 701 gigabytes de información.

Qué datos se filtraron: De todo. Datos electorales del INE con información completa de votantes. Historial bancario y crediticio de millones de personas. Registros fiscales del SAT. Bases de datos de empresas, universidades, hospitales y partidos políticos. Datos laborales, telefónicos y hasta registros de créditos.

Cómo lo hicieron: Según el análisis de AutDefend, InjectionInferno es un data broker especializado en Latinoamérica. Su modelo de negocio consiste en tomar filtraciones antiguas, enriquecerlas con datos nuevos y crear paquetes frescos que vende a organizaciones criminales globales. No necesariamente hackeó cada sistema individualmente. Combinó datos de múltiples fuentes previas, creando perfiles más completos de cada persona.

Diagnóstico técnico: Este caso revela un problema estructural. Las bases de datos gubernamentales y privadas en México no están aisladas entre sí de manera efectiva. Cuando un vendedor puede cruzar información del INE con datos del SAT y registros bancarios para crear perfiles completos, significa que múltiples sistemas fueron comprometidos a lo largo del tiempo y nadie conectó los puntos.

Dato que preocupa: En ese momento había elecciones judiciales programadas para junio de 2025. Tener datos electorales del INE combinados con números de teléfono y afiliaciones partidistas en manos de criminales es una bomba para manipulación, fraude electoral y extorsión política.

2. Filtración de 20 millones de pensionados del IMSS (septiembre 2025)

Qué pasó: Los datos de 20 millones de pensionados y jubilados del Instituto Mexicano del Seguro Social aparecieron a la venta en la dark web. El periodista de ciberseguridad Ignacio Gómez Villaseñor fue el primero en alertar sobre el incidente el 12 de septiembre.

Qué datos se filtraron: Nombres completos, direcciones, CURP, número de seguridad social y, lo que es más grave, padecimientos médicos. La base de 1.4 gigabytes se vendió por 50,000 pesos.

Cómo lo hicieron: El grupo responsable fue Sc0rp10nn. Pero ojo con esto: el propio IMSS reconoció que no fue un hackeo externo, sino "una posible filtración por uso indebido de acceso a información institucional por parte de personal". En otras palabras, un empleado con acceso legítimo sacó los datos y los vendió.

Diagnóstico técnico: Esto es un clásico caso de amenaza interna. El IMSS tiene infraestructura digital con décadas de antigüedad, donde los controles de acceso son débiles y el monitoreo de actividad inusual es mínimo. Un empleado pudo extraer 20 millones de registros sin que nadie lo detectara en tiempo real. No había sistemas de prevención de pérdida de datos (DLP) ni alertas por descarga masiva.

Por qué esto es particularmente grave: Los pensionados son el grupo demográfico más vulnerable a las estafas. Son mayores, muchos viven solos, y ahora los criminales tienen su nombre, dirección, seguro social y hasta qué enfermedades padecen. Imagina recibir una llamada que dice: "Señora García, le hablamos del IMSS respecto a su tratamiento de diabetes. Necesitamos actualizar su información bancaria para seguir recibiendo su pensión." Con datos reales, la estafa es casi imposible de detectar.

3. El mega hackeo de Chronus Group (enero 2026)

Qué pasó: El 30 de enero de 2026, el grupo hacktivista Chronus publicó 2.3 terabytes de información robada de al menos 25 instituciones gubernamentales. Se estima que 36 millones de mexicanos fueron afectados, el 28% de la población.

Qué instituciones fueron comprometidas: SAT (datos fiscales de 30.7 millones de contribuyentes), IMSS-Bienestar (1.8 terabytes de registros del padrón de protección social), SEP, Secretaría de Salud, gobiernos estatales y municipales. También se expuso el padrón de afiliados de Morena y 494 mil expedientes clínicos del Instituto Nacional de Perinatología.

Qué datos se filtraron: CURP, RFC, domicilios completos, códigos QR de afiliación al IMSS, información fiscal, expedientes médicos, claves de elector.

Cómo lo hicieron: Según la ATDT (Agencia de Transformación Digital y Telecomunicaciones), los atacantes usaron credenciales de usuario y contraseña que seguían activas en sistemas obsoletos. Algunas plataformas comprometidas tenían más de dos décadas de antigüedad y eran administradas por proveedores externos con mantenimiento deficiente.

Diagnóstico técnico: Esto no fue un hackeo sofisticado. Fue lo más básico posible: credenciales viejas que nadie desactivó en sistemas que nadie actualizó. No hubo autenticación de dos factores. No hubo rotación de contraseñas. No hubo segmentación de redes. Fue como dejar la puerta de tu casa abierta durante 20 años y sorprenderte de que alguien entró.

La respuesta del gobierno: La ATDT dijo que no se detectó "publicación de datos clasificados como sensibles" y que el ataque afectó "sistemas obsoletos desarrollados por proveedores privados." Expertos de ciberseguridad como Víctor Ruiz de SILIKN no estuvieron de acuerdo, señalando que la definición de "datos sensibles" del gobierno no coincide con la realidad de lo expuesto.

4. Hackeo asistido por inteligencia artificial (febrero 2026)

Qué pasó: Bloomberg reportó que un hacker utilizó herramientas de inteligencia artificial para llevar a cabo una serie de ataques contra agencias gubernamentales mexicanas, robando datos fiscales y electorales.

Diagnóstico técnico: La IA permite automatizar el reconocimiento de vulnerabilidades, generar código de ataque personalizado y procesar cantidades masivas de datos robados para extraer lo más valioso. Un solo atacante con herramientas de IA puede hacer el trabajo que antes requería un equipo completo. Esto no va a mejorar.

5. Hackeo a TrabajaEn.gob.mx (2024-2025)

Qué pasó: La plataforma de empleo del gobierno federal sufrió una filtración de al menos 3,937 credenciales de acceso. De esas, 1,184 aparecen como usadas recientemente en 2025.

Por qué importa: Estas credenciales dan acceso a los sistemas internos del gobierno. Cada empleado comprometido es un punto de entrada potencial para ataques más grandes, como el de Chronus.

6. Sector financiero: la amenaza silenciosa

Aunque no hubo un solo hackeo espectacular a un banco específico, el sector financiero es uno de los más atacados en México. Los incidentes cibernéticos le costaron al sistema financiero mexicano 483.85 millones de pesos en 2024. Los datos bancarios y crediticios que aparecieron en Inferno Leaks sugieren que múltiples instituciones financieras, fintechs y aseguradoras han sido comprometidas, aunque muchas no lo reportan públicamente.

Lo que viene: las estafas que ya están usando tus datos

Aquí es donde todo se vuelve personal. Los datos que se robaron no se quedan guardados en un disco duro. Se venden, se cruzan, se empaquetan y se usan para crear estafas que parecen reales porque usan información real. Tuya.

Estas son las estafas que ya están circulando y las que van a aumentar dramáticamente en los próximos meses:

Estafas del SAT con tu RFC real

Con 30.7 millones de registros fiscales filtrados del SAT, espera recibir mensajes como: "Contribuyente [tu nombre real], su declaración con RFC [tu RFC real] presenta inconsistencias. Regularice su situación en 48 horas para evitar recargos." El enlace lleva a una página idéntica al portal del SAT que te pide tu contraseña y datos bancarios.

La diferencia con las estafas del SAT de antes es que estas van a incluir tu RFC real, tu nombre correcto y posiblemente tu régimen fiscal. Eso las hace casi imposibles de distinguir de un aviso legítimo.

Llamadas del IMSS mencionando tu número de seguro social

20 millones de pensionados con nombre, NSS, dirección y padecimientos médicos en la dark web. Las llamadas van a sonar así: "Señor [tu nombre], del IMSS, referente a su seguro social [tu NSS real]. Su pensión de este mes tiene un ajuste. Para confirmar que se deposite correctamente necesitamos verificar su cuenta CLABE."

O peor: "Le llamamos porque detectamos una irregularidad en el registro de su tratamiento de [tu padecimiento real]. Necesitamos actualizar sus datos."

Cuando el estafador sabe qué enfermedad tienes, el nivel de manipulación emocional es brutal.

WhatsApp haciéndose pasar por tus familiares

Con datos cruzados de múltiples filtraciones, los criminales pueden identificar relaciones familiares. Si tu mamá está en la base del IMSS y tú estás en la del SAT con la misma dirección, ya saben quién es tu familia. Espera el clásico "Mamá, cambié de número" pero ahora con el nombre correcto de tu hijo y detalles que solo alguien cercano sabría.

Ofertas de crédito "pre-aprobadas" usando tu historial

Los datos bancarios y crediticios de Inferno Leaks permiten crear ofertas de crédito personalizadas que mencionan tu banco real, un monto creíble basado en tu historial, y términos que suenan demasiado buenos. "Felicidades [tu nombre], Banorte te ha pre-aprobado un crédito de $85,000. Confirma aquí para recibirlo en 24 horas."

Estafas del Mundial 2026

Esto ya está pasando. Se han detectado más de 4,300 sitios falsos relacionados con la FIFA, ofreciendo boletos, paquetes de viaje y transmisiones. Con los datos filtrados, estas estafas van a ser personalizadas: "Juan, ¿ya tienes tus boletos para el México vs. Argentina en el Azteca? Últimos lugares disponibles para socios [de tu banco real]."

La SSPC ya emitió una alerta advirtiendo sobre ofertas de boletos antes de las fechas oficiales de venta.

Suplantación de identidad masiva

Con CURP, RFC, dirección y nombre completo, un criminal puede abrir cuentas bancarias, solicitar créditos, contratar líneas telefónicas y cometer otros delitos a tu nombre. El robo de identidad en México ya aumentó un 84%, y las identidades sintéticas creadas con IA crecieron un 1,200% en 2025.

Esto es diferente a recibir un mensaje de estafa. Esto es que alguien está usando tu identidad sin que te enteres, hasta que llega un cobro que nunca autorizaste o una investigación por un delito que nunca cometiste.

Por qué los filtros tradicionales no van a servir

El problema con las estafas que vienen después de estas filtraciones es que usan datos reales. Un filtro de spam busca patrones genéricos: "Estimado usuario, su cuenta ha sido suspendida." Eso es fácil de detectar.

Pero un mensaje que dice "Juan Carlos Hernández Pérez, RFC HEPJ850312KT5, su declaración anual presenta diferencias" no se ve como spam. Se ve como un aviso del SAT porque tiene tu información correcta.

Lo que se necesita es un análisis que vaya más allá del remitente y del contenido superficial. Que detecte los patrones de manipulación, las URLs sospechosas y las peticiones de información que ninguna institución legítima haría por mensaje de texto, sin importar cuántos datos correctos incluya. Si quieres entender a fondo por qué bloquear números ya no funciona contra estas estafas, lee nuestro artículo sobre por qué bloquear no te protege.

Eso es exactamente lo que hace Rampart: analiza el comportamiento del mensaje, no solo las palabras. Detecta la urgencia artificial, los enlaces fraudulentos y las solicitudes de datos sensibles que delatan a una estafa, incluso cuando el mensaje incluye tu nombre real, tu RFC y tu número de seguro social.

Qué hacer ahora mismo: tu kit de protección familiar

No puedes des-filtrar tus datos. Ya están ahí afuera. Pero sí puedes prepararte para lo que viene. Estas son acciones concretas que puedes hacer este fin de semana:

Para ti

Congela tu historial crediticio. Entra a Buró de Crédito y a Círculo de Crédito y activa las alertas de consulta. Si alguien intenta abrir un crédito a tu nombre, te van a avisar. Es gratis una vez al año.

Activa la autenticación de dos factores en todo. Tu banco, tu correo, tu SAT, tus redes sociales. Si un criminal tiene tu contraseña (y con las filtraciones de TrabajaEn.gob.mx, es posible), el segundo factor es lo que impide que entre.

Revisa tu estado de cuenta del IMSS. Entra a la app del IMSS Digital y verifica que no haya movimientos que no reconozcas. Lo mismo con tu constancia de situación fiscal en el SAT.

Cambia tus contraseñas. Especialmente si usas la misma contraseña en varios servicios. Usa un administrador de contraseñas. En serio, hazlo hoy.

Para tus papás y abuelos

Avísales. Siéntate con ellos y explícales que sus datos del IMSS fueron filtrados. No para asustarlos, sino para que sepan que van a recibir llamadas y mensajes que suenan muy reales pero que son estafas. Diles: "Si alguien te llama del IMSS, del banco, o de cualquier lugar pidiendo datos o dinero, cuélgale y llámame a mí primero. Siempre."

Crea una palabra clave familiar. Elijan una palabra que solo ustedes conozcan. Si alguien llama haciéndose pasar por un familiar en emergencia, la primera pregunta es: ¿cuál es la palabra? Si no la sabe, cuelga. Esto funciona incluso contra las estafas con clonación de voz por IA. Te lo prometemos.

Activa el filtro de mensajes desconocidos en su celular. En iPhone: Configuración, Apps, Mensajes, activa "Filtrar remitentes desconocidos." Toma 30 segundos y elimina una cantidad enorme de estafas antes de que las vean.

Descarga nuestra guía de protección familiar. La creamos específicamente para familias en México. Incluye qué hacer paso a paso si recibes una llamada sospechosa, cómo verificar si un mensaje es real, y cómo reportar fraude. Es gratis y está en español.

Descargar la guía de protección familiar

Lo que nos espera

Hay que ser honestos: 2026 va a ser un año difícil en ciberseguridad para México. El Mundial va a traer una oleada de estafas relacionadas con boletos, hospedaje y transmisiones. Los datos filtrados del SAT, IMSS y decenas de otras instituciones van a alimentar estafas cada vez más personalizadas. Y la IA está haciendo que los criminales puedan operar a una escala que antes era imposible.

El gobierno creó la ATDT y está adoptando el modelo de Zero Trust, pero los expertos coinciden en que sin un marco legal robusto, estos esfuerzos van a tardar en dar resultados.

Mientras tanto, la protección empieza en casa. Habla con tu familia. Activa cada capa de seguridad que puedas. Y desconfía de cualquier mensaje que te pida actuar de inmediato, por más real que parezca.

Tus datos ya están ahí afuera. Lo que hagas con esa información es lo que marca la diferencia.