Una USB con 8 millones de datos del gobierno: el problema real no es el despido, es la ciberseguridad

El caso en pocas palabras

Nancy Camacho Díaz, exdirectora de Desarrollo y Evaluación de la Plataforma Digital Nacional del Sistema Nacional Anticorrupción, denunció haber sido despedida injustificadamente en julio de 2025.

Como parte de su defensa legal, decidió no entregar el equipo de trabajo que tenía bajo su responsabilidad mientras se resuelve su proceso de amparo.

Entre ese equipo se encuentra una computadora y una memoria USB con aproximadamente 8 millones de registros de declaraciones patrimoniales de servidores públicos recopilados entre 2020 y 2024.

La Secretaría Ejecutiva del SNA presentó una denuncia por abuso de confianza y delitos contra archivos institucionales. Sin embargo, una suspensión judicial definitiva impide que por ahora se le obligue a entregar el equipo o se le finquen responsabilidades mientras se analiza el fondo del caso.

Hasta aquí, podría parecer un conflicto laboral más dentro del gobierno.

Pero desde la ciberseguridad, esto es otra cosa completamente distinta.

La pregunta que nadie está haciendo

La conversación pública se ha centrado en si el despido fue justo o injusto.

Sin embargo, la pregunta verdaderamente importante es otra:

¿Cómo es posible que una sola persona pueda tener una copia portátil de millones de registros sensibles del gobierno?

Esta pregunta cambia completamente el enfoque del caso.

Porque revela una posible falla estructural en la gestión de la información crítica del Estado.

Insider Threat: la amenaza interna

En ciberseguridad existe un término clave: Insider Threat o amenaza interna.

Se refiere a los riesgos provocados por personas que ya tienen acceso legítimo a los sistemas y a la información.

Contrario a lo que muchas personas creen, la mayoría de las fugas de datos no provienen de hackers externos.
Provienen de dentro de las organizaciones.

Esto ocurre cuando:

• Los accesos no están correctamente controlados

• No existen límites claros para copiar información

• No hay monitoreo de salida de datos

• Los respaldos no están protegidos adecuadamente

Este caso encaja perfectamente en ese escenario.

Lo que dice la seguridad internacional (ISO 27001)

No estamos improvisando. Existen estándares internacionales diseñados precisamente para evitar situaciones como esta.

El estándar ISO 27001 establece controles fundamentales para proteger información crítica:

1. Clasificación de la información

Los datos deben clasificarse según su sensibilidad.
Las declaraciones patrimoniales son información claramente crítica y altamente confidencial.

2. Principio de mínimo privilegio

Cada persona debe tener solo el acceso estrictamente necesario para realizar su trabajo.

3. Revocación inmediata de accesos

Cuando una persona deja una organización, sus accesos deben retirarse de inmediato.

4. Cifrado obligatorio

Los datos sensibles deben estar cifrados, incluso en respaldos.

5. Control de activos de información

La organización debe saber en todo momento dónde están sus datos y quién puede acceder a ellos.

6. Control de respaldos

Las copias de seguridad deben estar estrictamente controladas y protegidas.

En otras palabras:

Ningún sistema crítico debería depender de la buena voluntad de una persona.

El verdadero problema: la gobernanza de datos

La Plataforma Digital Nacional es la herramienta central del Sistema Nacional Anticorrupción.

Su función es cruzar enormes bases de datos para detectar posibles actos de corrupción.

Esto implica:

• Información masiva

• Datos financieros sensibles

• Interconexión entre instituciones

• Altísimo valor estratégico

Por eso surgen preguntas inevitables:

• ¿Por qué existía una copia portátil de esta información?

• ¿Quién controla la salida de datos?

• ¿Existen mecanismos de prevención de fuga de información?

• ¿Se aplican herramientas de Data Loss Prevention (DLP)?

Este caso sugiere algo preocupante:
Los datos podrían haber sido copiables sin controles estrictos.

El riesgo real detrás de estos datos

Las declaraciones patrimoniales contienen:

• Ingresos

• Deudas

• Propiedades

• Vehículos

• Inversiones

• Información financiera detallada

Esto permite crear perfiles financieros completos de miles de servidores públicos.

Y este tipo de información es extremadamente valiosa para el crimen.

Puede utilizarse para:

• Extorsión dirigida

• Fraude financiero personalizado

• Ingeniería social avanzada

• Amenazas y secuestros dirigidos

• Perfilamiento político

En términos de ciberseguridad:

Esta base de datos es oro para el crimen organizado.

Un problema estructural

Este caso no ocurre en el vacío.

México ha avanzado rápidamente en digitalización gubernamental, lo cual es positivo. Pero la digitalización sin ciberseguridad adecuada incrementa exponencialmente la superficie de ataque.

Cada nueva plataforma, cada base de datos y cada sistema interconectado aumenta el riesgo si no existe una estrategia sólida de protección.

Este incidente no es solo una USB.
Es una señal de alerta.

La lección más importante

Este caso deja una enseñanza clara:

La ciberseguridad no depende únicamente de firewalls, antivirus o tecnología.

Depende de procesos.

Depende de controles.

Depende de cultura organizacional.

Y sobre todo, depende de que los sistemas no estén diseñados para confiar en las personas, sino para proteger la información incluso cuando las personas cambian, se van o cometen errores.

Porque la verdadera seguridad empieza cuando los datos dejan de depender de individuos.

La ciberseguridad no debe depender de quién tiene la laptop.