El incidente fue reportado inicialmente el pasado 21 de enero de 2026, cuando los sistemas de la SHF, una institución de la banca de desarrollo encargada de impulsar el acceso a la vivienda en México, presentaron interrupciones. LockBit 5.0, una evolución del grupo que ha asolado a infraestructuras críticas globalmente, se adjudicó la intrusión, alegando haber exfiltrado documentos internos, información de clientes y registros financieros estratégicos.
Causas: Vulnerabilidades y evolución del crimen
Expertos en ciberseguridad señalan que el ataque pudo haberse originado a través de dos vectores principales:
Explotación de sistemas heredados: El uso de software con parches de seguridad pendientes.
Ingeniería social: Campañas de phishing dirigidas a empleados para obtener credenciales de acceso. La aparición de LockBit 5.0 representa un salto técnico, utilizando inteligencia artificial para automatizar el cifrado de archivos y evadir herramientas de detección tradicionales, lo que ha dificultado la respuesta inmediata de la institución.
Responsables: El retorno de LockBit
A pesar de las operaciones internacionales coordinadas por la Interpol y el FBI en años anteriores para desmantelar su infraestructura, LockBit ha demostrado una resiliencia alarmante. Bajo el modelo de "Ransomware-as-a-Service" (RaaS), el grupo opera con afiliados que ejecutan los ataques a cambio de una comisión, manteniendo a sus líderes en el anonimato.
Consecuencias: Riesgo sistémico y reputacional
La filtración de datos de la SHF no solo compromete la privacidad de miles de beneficiarios de créditos hipotecarios, sino que también:
Afecta la calificación crediticia: La incertidumbre sobre la integridad de sus datos puede impactar la confianza de los inversionistas.
Parálisis operativa: La interrupción de procesos de originación y administración de créditos.
Sanciones regulatorias: Posibles multas por incumplimiento de la Ley Federal de Protección de Datos Personales.
Posibles soluciones y respuesta institucional
El Gobierno Federal, a través de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), ha activado el Protocolo de Respuesta a Incidentes del Plan Nacional de Ciberseguridad 2025-2030. Las estrategias actuales incluyen:
Aislamiento de redes: Para evitar que el ransomware se propague a otras entidades bancarias conectadas.
Restauración mediante respaldos: El uso de copias de seguridad offline para recuperar la operatividad sin pagar el rescate.
Negociación táctica: Mantener canales abiertos para ganar tiempo mientras se realiza el análisis forense, siguiendo la política internacional de no ceder ante extorsiones criminales.
"Este ataque es un recordatorio de que la ciberseguridad no es un gasto, sino el pilar de la soberanía financiera en la era digital", señaló un analista de ciberseguridad consultado.