Robo de datos al IMSS: hasta el 70 % de los incidentes de ciberseguridad vienen de empleados

Un robo de información sin precedentes ha puesto en riesgo a millones de pensionados en México. Se confirmó la sustracción y posterior venta de datos sensibles de cerca de 20 millones de beneficiarios del Instituto Mexicano del Seguro Social (IMSS), incluidos nombres completos, CURP, fechas de nacimiento, rangos de edad, modalidades de pensión e incluso datos médicos.

La alerta surgió cuando grupos criminales comenzaron a ofrecer la base de datos en la dark web. Especialistas en ciberseguridad, como el periodista Ignacio Gómez Villaseñor, que analizaron muestras del material verificaron su autenticidad y advirtieron que esta información podría alimentar fraudes masivos dirigidos a adultos mayores, uno de los sectores más vulnerables de la población.

Ante el creciente escándalo, el IMSS reconoció la posibilidad de una filtración, pero negó que se tratara de un hackeo externo. Las primeras investigaciones apuntan a un acceso indebido por parte de personal interno con privilegios institucionales, por lo que se abrió una investigación para determinar responsabilidades.

El incidente revela una realidad que muchas dependencias públicas suelen minimizar: las amenazas no siempre vienen del exterior. Los llamados insiders —empleados o colaboradores con acceso a sistemas críticos— representan un riesgo considerable. De acuerdo con la unidad de investigación de SILIKN, este tipo de atacantes está vinculado a alrededor del 70 % de los incidentes de ciberseguridad en las organizaciones.

La preocupación se intensifica al revisar el historial de vulnerabilidades del IMSS. Durante el último año, la unidad de investigación de SILIKN emitió múltiples alertas sobre fallas críticas en sus sistemas. El 26 de mayo de 2023 advirtió que servidores Windows IIS sin parches estaban siendo explotados por el grupo Lazarus, con al menos 22 dependencias de gobierno en peligro. En noviembre de 2024 identificó una variante maliciosa de Remcos que amenazaba a instituciones que operan con Windows y, semanas después, reportó una campaña de phishing contra dependencias que usan Microsoft 365.

Las advertencias continuaron en 2025: el 17 de enero se alertó sobre una campaña maliciosa basada en Google Ads que ponía en riesgo a más de 17 dependencias, y el 30 de julio se detectó un sofisticado web shell capaz de comprometer servidores IIS de más de 400 instituciones públicas. En todas estas notificaciones, el IMSS figuró como potencialmente vulnerable.

La falta de acciones efectivas permitió que los riesgos se materializaran. El 12 de septiembre de 2025 un cibercriminal puso a la venta los datos médicos y personales de 20 millones de mexicanos registrados en la base de pensionados del IMSS. La información, que incluye padecimientos, nombres, CURP y fechas de nacimiento, representa una mina de oro para el crimen organizado, capaz de derivar en fraudes, extorsiones y suplantaciones de identidad.

Las consecuencias son graves. Con esta información en manos de delincuentes, aumenta el riesgo de estafas telefónicas y electrónicas en las que los criminales se hacen pasar por hospitales, clínicas o laboratorios, ofreciendo supuestos servicios médicos o cirugías a bajo costo para obtener depósitos anticipados. También se teme el uso de estos datos para abrir créditos o solicitar préstamos a nombre de los pensionados, e incluso para extorsionar a familiares y beneficiarios.

Los principales afectados son personas pensionadas por edad, quienes sufrieron accidentes laborales y los beneficiarios de estas pensiones. Se trata de un grupo que ya enfrenta condiciones de vulnerabilidad y que ahora se convierte en objetivo de fraudes y robos de identidad. Ante este panorama, la unidad de investigación de SILIKN recomienda desconfiar de llamadas o mensajes inesperados, no compartir información personal o financiera por medios no oficiales y verificar de manera directa cualquier trámite relacionado con pensiones o servicios médicos.

Este episodio expone con crudeza la fragilidad en la protección de datos dentro de una de las instituciones más grandes del país. Más allá de determinar si se trató de un hackeo o de una filtración interna, la realidad es que millones de mexicanos han quedado expuestos en lo que ya se perfila como uno de los incidentes de vulneración de información más graves de la historia reciente. La lección es clara: la negligencia también es una vulnerabilidad, y su costo puede ser tan alto como el de cualquier ciberataque.

* Víctor Ruiz. Fundador de SILIKN | Emprendedor Tecnológico | (ISC)² Certified in Cybersecurity℠ (CC) | Cyber Security Certified Trainer (CSCT™) | EC-Council Ethical Hacking Essentials (EHE) | EC-Council Certified Cybersecurity Technician (CCT) | Cisco Ethical Hacker & Cybersecurity Analyst | Líder del Capítulo Querétaro de OWASP.

X: https://x.com/victor_ruiz

Instagram:https://www.instagram.com/silikn

YouTube:https://www.youtube.com/@silikn7599