Así opera el ecosistema criminal que fusiona narcotráfico y cibercrimen en México

En el ámbito del cibercrimen, los grupos delictivos no actúan de forma aislada. A diferencia del estereotipo del hacker solitario, las organizaciones criminales actuales operan con estructuras similares a las de empresas legales, apoyándose en cadenas de suministro sofisticadas y redes de colaboración que les permiten escalar sus operaciones y maximizar sus beneficios.

Un estudio realizado por la unidad de investigación de SILIKN revela cómo diversos actores dentro del cibercrimen están interconectados, y cómo esta colaboración ha reconfigurado profundamente el panorama de la ciberseguridad.

El análisis identifica que estas organizaciones dependen de un ecosistema criminal bien articulado, que les facilita el acceso a tecnologías y servicios clave para sus actividades ilícitas. Este ecosistema se organiza en tres grandes áreas: provisión de servicios, distribución y monetización.

Cada una de estas áreas está compuesta por actores especializados que cumplen funciones concretas dentro de la cadena delictiva, abarcando desde la creación de herramientas maliciosas, la ejecución de ataques, hasta el blanqueo de los beneficios obtenidos.

El área de servicios dentro del ecosistema del cibercrimen representa la base tecnológica sobre la que se sostiene el crimen híbrido. En el caso de los cárteles mexicanos, sus operaciones de cibercrimen dependen cada vez más de actores que suministran herramientas y servicios digitales, muchos de ellos obtenidos a través de la dark web. Estas conexiones incluyen diversos tipos de proveedores especializados:

- Corredores de acceso: Se trata de hackers independientes o colectivos como Manipulated Caiman y Neo_Net, quienes comprometen sistemas de empresas y entidades gubernamentales para luego vender esos accesos a organizaciones criminales como el Cártel Jalisco Nueva Generación (CJNG). Un ejemplo reciente ocurrió en febrero de 2025, cuando el CJNG fue vinculado a ataques cibernéticos contra sistemas gubernamentales en Jalisco, utilizando accesos previamente adquiridos para desestabilizar a autoridades locales.

- Servicios de ataques DDoS: Los cárteles contratan servicios de denegación de servicio distribuido (DDoS) para afectar infraestructuras clave, como redes de vigilancia o centros de comando policial. Grupos como Bandidos Revolution Team ofrecen este tipo de herramientas, que son utilizadas para interrumpir operativos de seguridad o crear distracciones.

- Tecnologías de anonimato y cifrado: Para ocultar sus actividades, los cárteles recurren al uso de redes privadas virtuales (VPN) y proxies, frecuentemente adquiridos en mercados clandestinos. Además, plataformas de mensajería cifrada como Telegram y WhatsApp se utilizan para coordinar actividades de narcotráfico y cibercrimen, como la distribución de fentanilo. En marzo de 2025, una operación conjunta entre México y Estados Unidos desmanteló una red criminal que utilizaba Telegram para contactar a sus distribuidores.

- Reclutamiento de especialistas: Los cárteles también han comenzado a incorporar programadores y hackers, incluso aquellos sin antecedentes criminales, para diseñar malware o ejecutar ataques dirigidos. Esto incluye expertos en inteligencia artificial, utilizados para automatizar fraudes o generar contenidos falsos como deepfakes. A través del modelo de Cibercrimen como Servicio (CaaS), estas organizaciones pueden acceder a talento técnico altamente especializado sin necesidad de desarrollarlo internamente.

Por otra parte, el área de distribución es responsable de la diseminación de amenazas digitales, y constituye un eslabón clave en las operaciones de cibercrimen asociadas a cárteles mexicanos. Para extender su alcance y maximizar el impacto de sus actividades ilícitas, estas organizaciones colaboran con actores especializados en propagar malware, contenido fraudulento y campañas de ingeniería social. Entre las tácticas más comunes destacan:

- Campañas de spam en redes sociales y aplicaciones de mensajería: Grupos vinculados a cárteles emplean plataformas como Telegram y WhatsApp para enviar mensajes masivos que difunden estafas, enlaces maliciosos o kits de phishing. Estas campañas también sirven como medio para reclutar mulas de dinero o nuevos distribuidores de drogas, aprovechando la amplia penetración de estas plataformas.

- Phishing por correo electrónico: Los cárteles financian campañas dirigidas a pequeñas y medianas empresas mexicanas (MiPyMEs), que, a pesar de representar más del 50% del PIB nacional, suelen carecer de defensas robustas contra ciberataques. Estas campañas a menudo incluyen malware como ransomware, cuyos costos promedio de recuperación pueden alcanzar los 4 millones de dólares por incidente.

- Kits de explotación: Grupos como Mexican Mafia desarrollan y comercializan kits de explotación en la dark web. Estos paquetes maliciosos permiten aprovechar vulnerabilidades en software empresarial y son utilizados por los cárteles para comprometer redes de instituciones financieras, organismos gubernamentales y empresas privadas, facilitando el robo de datos y la infiltración en sistemas críticos.

- Redirección de tráfico desde sitios web comprometidos: Otra técnica común consiste en adquirir tráfico proveniente de sitios hackeados, que luego se redirige hacia páginas diseñadas para alojar estafas financieras o marketplaces ilegales. En el caso del fentanilo, por ejemplo, es frecuente que los consumidores sean conducidos hacia “farmacias fachada” en la dark web, desde donde se concretan las ventas.

De igual forma, el área de monetización es donde los cárteles transforman los datos obtenidos mediante ciberataques en beneficios económicos. Esta etapa es crucial dentro del ecosistema criminal, ya que permite convertir las intrusiones y robos digitales en flujos de ingresos tangibles. Para lograrlo, los cárteles colaboran con actores especializados que facilitan diversas actividades, entre ellas:

- Redes de mulas de dinero: Utilizan intermediarios para mover fondos robados a través de transferencias bancarias o retiros en efectivo. Estas personas, comúnmente reclutadas a través de redes sociales con engaños o promesas de empleo, son clave en el proceso de lavado de dinero proveniente de fraudes financieros o ataques con ransomware.

- Venta de datos en tiendas clandestinas: Los cárteles operan o mantienen vínculos con “dump shops” en la dark web, donde se comercializa información sustraída de empresas y entidades gubernamentales. Grupos como Neo_Net han sustraído millones de datos financieros que son vendidos para financiar otras actividades criminales.

- Extorsión a través de ransomware: Organizaciones criminales como el CJNG contratan a grupos especializados, como Dark Angels, para lanzar ataques de ransomware dirigidos. Estos ataques implican el cifrado de datos críticos y la exigencia de pagos millonarios a cambio de su liberación. Un caso destacado ocurrió en 2024, cuando una empresa del índice Fortune 50 pagó 75 millones de dólares como rescate. En México, este tipo de ataques se ha utilizado para presionar a gobiernos locales.

- Comercialización de datos de tarjetas bancarias: En foros de carding alojados en la dark web, operados por grupos como Bandidos Revolution Team, se venden datos de tarjetas de crédito y débito robadas. Los cárteles se benefician directa o indirectamente de estas transacciones, que son utilizadas para ejecutar fraudes financieros a gran escala.

- Uso de criptomonedas y servicios de mezcla: Para ocultar el origen ilícito de los fondos, los cárteles emplean servicios de mezcla de criptomonedas (mixers), facilitando el lavado de dinero mediante activos como Bitcoin, Tether o Monero. En 2024, las operaciones de criptomonedas vinculadas al narcotráfico en México aumentaron un 55.8%, siendo el CJNG y el Cártel de Sinaloa los principales protagonistas.

- Fraudes bancarios avanzados: También recurren a esquemas como el Business Email Compromise (BEC), que consiste en suplantar identidades mediante correos electrónicos falsos para inducir a empresas a realizar transferencias a cuentas controladas por los atacantes. Estos fraudes suelen ser posibles gracias al uso de credenciales filtradas y el trabajo de hackers contratados para ejecutar los ataques con precisión.

¿Qué casos específicos demuestran la forma en que estos actores del cibercrimen colaboran entre sí?

- Colaboración entre el CJNG y grupos de hackers: El Cártel Jalisco Nueva Generación ha establecido alianzas con hackers mexicanos como Manipulated Caiman y Bandidos Revolution Team para ejecutar ataques dirigidos contra instituciones financieras y organismos gubernamentales. En 2025, estas colaboraciones resultaron en ciberataques que derivaron en millonarios robos bancarios.

- El Cártel de Sinaloa y los mercados ilícitos en la dark web: La facción conocida como “Los Chapitos” ha operado plataformas en la dark web para la venta de cocaína y fentanilo, aprovechando herramientas de cifrado y transacciones en criptomonedas. En marzo de 2025, una red vinculada a esta organización fue desarticulada por las autoridades tras descubrirse que utilizaba Telegram para coordinar envíos internacionales.

- Cibercrimen como Servicio (CaaS) en México: El modelo de CaaS se ha consolidado como un recurso clave para los cárteles, que adquieren herramientas como ransomware y kits de phishing en la dark web. Según informes de la unidad de investigación de SILIKN, este mercado ha experimentado un crecimiento acelerado en 2025, con grupos criminales mexicanos entre sus principales compradores.

- Afectaciones a MiPyMEs y gobiernos locales: Las micro, pequeñas y medianas empresas —que representan el 52% del PIB nacional— se han convertido en blancos recurrentes de campañas de phishing y ataques con ransomware financiados por el crimen organizado. Asimismo, gobiernos locales como el de Jalisco han sido objeto de agresiones cibernéticas con fines desestabilizadores. En 2024, el 35% de los incidentes de ciberseguridad registrados en México afectaron a instituciones públicas.

Rastrear las conexiones entre grupos criminales y actores del cibercrimen es una tarea sumamente complicada debido al uso extendido de tecnologías de encriptación y a la naturaleza descentralizada de sus operaciones. No obstante, una vía efectiva para interrumpir múltiples actividades ilícitas es desmantelar los servicios que estos actores comparten, como proveedores de VPN o mercados ilegales en la dark web.

En México, la respuesta legal y operativa frente a estos delitos se ve limitada por la ausencia de un marco legislativo integral. Aunque en 2023 se registraron alrededor de 300 denuncias diarias por cibercrímenes, la impunidad sigue siendo la norma. Para enfrentar esta situación, es fundamental impulsar la colaboración internacional, reforzar la ciberseguridad en las micro, pequeñas y medianas empresas (MiPyMEs), adoptar enfoques como el modelo Zero Trust y capacitar a los equipos humanos para mitigar riesgos.

Grupos como el Cártel Jalisco Nueva Generación (CJNG) y el Cártel de Sinaloa han consolidado un ecosistema criminal híbrido que combina narcotráfico y cibercrimen. Este entramado se articula a través de relaciones operativas en servicios, distribución y monetización, sustentadas en el modelo de Cibercrimen como Servicio (CaaS), el uso de criptomonedas y plataformas clandestinas en la dark web. Esta convergencia ha dado lugar a una economía delictiva altamente rentable y difícil de contener.

Frente a este escenario, es indispensable implementar estrategias que apunten directamente a los proveedores de servicios que sustentan el ecosistema criminal, además de fortalecer la legislación nacional y fomentar una cooperación efectiva entre el sector público y privado. En un contexto donde las ganancias del cibercrimen superan a las del narcotráfico tradicional, México se enfrenta a una amenaza multifacética que demanda respuestas innovadoras y coordinadas.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

Twitter: https://twitter.com/silikn

Instagram: https://www.instagram.com/silikn

YouTube: https://www.youtube.com/@silikn7599