No ha terminado el primer semestre de 2026 y el sistema financiero mexicano ya rompió un récord que nadie quería romper: ocho incidentes cibernéticos relevantes reportados al Banco de México entre enero y mayo, el doble de los cuatro que se registraron en todo 2025.
El dato proviene de la lista que Banxico actualiza cada año bajo el nombre "Principales incidentes cibernéticos relevantes ocurridos en el sistema financiero nacional", un documento que el banco central hace público desde 2019 y que, con el corte más reciente al 10 de junio de 2026, describe un patrón distinto al de años anteriores: las víctimas ya no son solo los grandes bancos.
El año comenzó con un ataque de ransomware identificado como LockBit contra un banco en enero, que paralizó temporalmente su servicio de transferencias electrónicas pero se contuvo sin daño financiero reportado. En febrero llegó un segundo golpe, esta vez con el malware Qilin, que vulneró los canales electrónicos y los sistemas de pago de otra institución bancaria: ahí sí hubo costo, 91.76 millones de pesos que absorbió el banco, no sus clientes.
Lo que vino después confirma que el blanco se movió hacia abajo en la cadena financiera. En marzo, una sociedad cooperativa de ahorro y préstamo reportó una vulneración en su servicio de transferencias. En abril fue el turno de una sociedad financiera popular (Sofipo). En mayo, una institución de fondos de pago electrónico —una fintech regulada— y otra Sofipo se sumaron a la lista, junto con dos incidentes adicionales en instituciones bancarias, uno de ellos centrado solo en la extracción de información, sin que se reportara su uso para operaciones fraudulentas.
Del cajero automático a la transferencia electrónica
La fotografía de 2026 es la culminación de un cambio que los propios reportes de Banxico documentan año con año desde que existe el registro.
En 2019, tres de los ocho incidentes registrados fueron asaltos —físicos y digitales a la vez— contra cajeros automáticos, alterados con hardware y software no autorizado para dispensar efectivo. El golpe más costoso de ese año, sin embargo, no vino de un atacante externo: 462 millones de pesos se perdieron por un fraude cometido desde dentro de una casa de bolsa, por personal de un proveedor externo que inyectó operaciones falsas durante tres días consecutivos.
Para 2021 —con 10 incidentes, el máximo histórico hasta ahora— los cajeros volvieron a ser el blanco principal (siete de diez casos), pero ya convivían con el ransomware, que había aparecido con fuerza el año anterior, durante la pandemia, bajo nombres como Sodinokibi, MedusaLocker y Emotet. Desde 2022, el centro de gravedad se desplazó hacia el servicio de transferencias electrónicas: en 2024, tres de los cuatro incidentes del año atacaron ese servicio —el restante fue un ataque de ransomware (Akira) contra canales electrónicos y sucursales— y en conjunto generaron 483.85 millones de pesos en pérdidas confirmadas para las instituciones, la cifra más alta desde 2019. Ese mismo 2024, una Sofipo ya había sido víctima en marzo: la llegada de instituciones de ahorro popular a esta lista no comenzó en 2026, solo se aceleró.
¿Más ataques, o por fin se reportan mejor?
La pregunta la planteó esta semana la periodista Jeanette Leyva Reus en su columna de El Financiero, a propósito de estas mismas cifras de Banxico: "¿estamos frente a más ataques o simplemente las instituciones están reportando mejor?". Su respuesta, matizada, apunta a ambas cosas: México construyó desde 2017 y 2018 un andamiaje de coordinación entre el banco central, la Fiscalía General de la República y las asociaciones gremiales del sector financiero que incentivó a las instituciones a notificar lo que antes podía quedarse dentro de sus propias áreas de tecnología.
Pero la propia columnista advierte que "atribuir todo a una mayor transparencia sería ingenuo": la expansión de los pagos digitales, la interconexión entre instituciones y la dependencia de proveedores externos han ampliado la superficie de riesgo, de forma que "cada nueva aplicación, cada nuevo proveedor y cada nueva conexión representa una oportunidad para los atacantes".
"Porque si en apenas cinco meses ya se rompieron registros recientes, la segunda mitad del año podría convertirse en la verdadera prueba de fuego para la resiliencia digital del sistema financiero mexicano." — Jeanette Leyva Reus, El Financiero, 23 de junio de 2026
El contexto global tampoco ayuda: el reporte Global Threat Landscape 2026 de FortiGuard Labs ubicó a México entre los tres países más atacados de América Latina, con 58,100 millones de intentos de ciberataque durante 2025. El sector financiero concentró cerca de la mitad de los incidentes de robo de control de cuentas (account takeover) detectados en el país.
Lo que esta lista no cuenta: el fraude que sí te toca a ti
Es importante leer estas cifras con cuidado, porque describen ataques a instituciones, no el fraude que vive el usuario promedio todos los días. Ese universo —mucho más grande, y mucho más cercano al bolsillo de cualquier mexicano— lo mide la Condusef, no Banxico.
Solo en los primeros nueve meses de 2025, los mexicanos presentaron 3.82 millones de reclamaciones por presunto fraude: cerca de 10 por minuto, las 24 horas del día. El monto reclamado llegó a 10,714 millones de pesos, de los cuales los bancos solo reembolsaron alrededor de una cuarta parte. La Condusef estima que más de 13 millones de personas fueron víctimas de fraude cibernético hasta julio de ese año.
La diferencia importa: cuando un banco sufre un ataque de ransomware como los que documenta Banxico, la pérdida —si la hay— normalmente la absorbe la institución. Cuando a ti te clonan la tarjeta, te suplantan en una app o te vacían la cuenta por SPEI con una llamada que parecía del banco, esa pérdida casi nunca aparece en ningún reporte oficial con tu nombre, y la probabilidad de que te la reembolsen por completo es baja. Es, literalmente, otro fenómeno, y crece a un ritmo propio que estas listas institucionales no capturan.
Lo que sigue
Con seis meses de 2026 por delante, la pregunta que dejan los datos de Banxico no es solo cuántos incidentes más se sumarán a la lista, sino si la respuesta institucional —reforzada desde 2018 con el Grupo de Respuesta a Incidentes y los principios de ciberseguridad del Consejo de Estabilidad del Sistema Financiero, y actualizada en la nueva Estrategia de Ciberseguridad 2024–2027 del propio banco central— logrará contener un fenómeno que, por ahora, golpea cada vez a entidades más pequeñas y con menos capacidad de defensa.
Para el usuario común, la lección práctica es otra: el hecho de que tu banco "no esté en la lista de Banxico" no significa que tu dinero esté a salvo de un fraude. La gran mayoría de los ataques que sí te pueden costar dinero a ti ocurren un nivel más abajo —phishing, ingeniería social, suplantación de identidad— y ahí la primera línea de defensa sigues siendo tú: desconfiar de links y llamadas inesperadas, activar las alertas de movimientos de tu banco y verificar siempre por un canal oficial antes de mover un peso.