Filtración de 20 millones de datos de pensionados del IMSS, ‘primer gran reto’ de la nueva Unidad de Protección de Datos

La información personal de 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS) fue divulgada y puesta a la venta en foros clandestinos, según reportó el periodista Ignacio Gómez Villaseñor, también especialista en ciberseguridad, desde el pasado 12 de septiembre.

La base filtrada contiene datos sensibles como nombres completos, domicilios particulares, CURP, números de seguridad social, fechas de nacimiento, condiciones médicas y tipos de sangre.

“Habrían vendido esta base por 50 mil pesos y estamos hablando de 20 millones de registros que seguramente van a estar circulando, no solamente entre quien los haya comprado, sino que se seguirán revendiendo y revendiendo entre muchos delincuentes. A final de cuentas, para eso es que quieren este tipo de bases de datos”, explicó Gómez Villaseñor en entrevista con la periodista Carmen Aristegui, el 23 de septiembre.

Días después, el director del IMSS, Zoé Robledo, aclaró que no se trató de un hackeo, sino de “una posible filtración de datos”. A pesar de esta distinción, especialistas en ciberseguridad advierten que la exposición de información podría desencadenar fraudes, extorsiones y robo de identidad dirigidos a pensionados, un sector de la población con menor familiaridad con métodos de estafa digital.

El colectivo autodenominado Scorpion se adjudicó la filtración y habría estado vinculado también al reciente hackeo del INFONAVIT, que comprometió más de 80 millones de registros de derechohabientes, lo que evidencia su alcance en ataques a bases de datos gubernamentales.

El periodista y experto en protección de datos, José Soto, consideró que el incidente representa el primer gran desafío para la Unidad de Protección de Datos Personales de la Secretaría Anticorrupción y Buen Gobierno. Esta instancia, de reciente creación, tiene la responsabilidad de investigar y sancionar, si corresponde, a funcionarios implicados en la filtración. Soto subrayó que el caso podría generar tensiones políticas internas, al involucrar a distintas dependencias en la seguridad de la información, según explicó a la Red en Defensa de los Derechos Digitales.

La vulnerabilidad de los datos se produce en un contexto de debilidad general en la protección de información gubernamental. La Agencia de Transformación Digital reconoció que “no hay capacidad de respuesta a incidentes de ciberseguridad en el gobierno” durante el Segundo Foro Nacional de Ciberseguridad. Ejemplos recientes incluyen la exposición en abril de 2025 de una megabase con información electoral, fiscal, bancaria y de salud, que también apareció en foros de filtraciones.

Expertos alertan que los pensionados podrían ser blanco de múltiples modalidades de delito, incluyendo fraude bancario, extorsión telefónica y robo de identidad. La combinación de información personal y médica aumenta la gravedad del riesgo, ya que la exposición de padecimientos de salud podría ser utilizada para manipular o engañar a las víctimas.

Las autoridades han enfatizado la necesidad de fortalecer la seguridad digital y establecer protocolos claros de respuesta ante incidentes de este tipo. Además, se prevé que la Unidad de Protección de Datos Personales investigue los responsables y evalúe sanciones, con el fin de prevenir futuras filtraciones y proteger la información de la población más vulnerable.

Analistas coinciden en que este caso evidencia la urgencia de mejorar la ciberseguridad en dependencias gubernamentales, implementar medidas de protección efectivas y sancionar a quienes vulneren datos personales.