Estas son algunas de las alertas que el SAT a ignorado sobre sus vulnerabilidades

Las alertas de vulnerabilidades en la aplicación Factura SAT Móvil no han surgido de comunicados oficiales del gobierno, sino de denuncias públicas realizadas por periodistas especializados y presuntos actores de cibercrimen. A diferencia de otros sistemas del Servicio de Administración Tributaria, esta app —lanzada en 2023— no cuenta con un historial amplio de reportes independientes, y la mayoría de los señalamientos se concentran en un solo caso ocurrido en diciembre de 2025.

El caso central: denuncia de hackeo masivo (diciembre de 2025)

El señalamiento más grave proviene de un hacker que opera bajo el alias ByteToBreach, activo desde mediados de 2025 y vinculado por firmas privadas de inteligencia a ataques contra bancos, aerolíneas y gobiernos.

Qué se denunció

• Oferta en foros de la dark web para la venta de más de 120 mil facturas CFDI correspondientes a 2025.

• Los archivos incluirían datos altamente sensibles, entre ellos:

  • RFC y razones sociales

  • Descripción de productos y servicios

  • Importes y referencias bancarias

  • Cuentas, nóminas con salarios exactos

  • Direcciones fiscales y correos electrónicos

Evidencia técnica

El atacante compartió muestras de facturas verificables en el portal público del Servicio de Administración Tributaria mediante UUID, lo que fue presentado como “prueba de vida”.
Esto llevó a la hipótesis de una posible explotación de vulnerabilidades en Factura SAT Móvil, aunque el SAT negó oficialmente la intrusión.

Amplificación mediática y cuestionamientos

La denuncia cobró relevancia pública tras ser difundida por el periodista Ignacio Gómez Villaseñor, especialista en ciberseguridad y colaborador en medios nacionales.

• Publicó hilos técnicos en X y artículos en medios como Publimetro, Sopitas y El Financiero.

• Aseguró que la vulnerabilidad “seguía abierta” al momento de su investigación.

• Cuestionó el desmentido gubernamental al señalar que el atacante presentó evidencia técnica detallada, mientras que la respuesta oficial se limitó a un comunicado general.

Hasta el momento, no existe confirmación independiente masiva del incidente; el SAT mantiene su postura de negación.

Otros reportes no oficiales relacionados con el ecosistema SAT

Aunque no apuntan directamente a Factura SAT Móvil, sí muestran antecedentes de fallas de seguridad en servicios vinculados:

• Marzo de 2025: el periodista Aldo Munguía reportó ausencia de DMARC en dominios del SAT, facilitando campañas de phishing.

• Marzo de 2025: cobertura del ataque de ransomware Cl0p contra Interfactura, proveedor autorizado de facturación. La empresa negó robo de datos de contribuyentes.

• Noviembre de 2025: alerta sobre una falla en SAT ID que habría permitido suplantación de identidad, incluso de figuras públicas.

• Años previos: reportes aislados de XSS en el portal web y filtraciones de credenciales en foros clandestinos.

Balance técnico

El historial de alertas no oficiales específicas sobre Factura SAT Móvil es limitado y se concentra en 2025. El caso atribuido a ByteToBreach es el más grave y reciente, amplificado por periodistas especializados.
Diversos expertos han expresado escepticismo ante el desmentido oficial, citando antecedentes de incidentes inicialmente negados que después fueron confirmados.

Recomendaciones prácticas para contribuyentes y empresas

• Utilizar exclusivamente aplicaciones oficiales y descargarlas desde tiendas verificadas.

• Activar doble factor de autenticación (2FA) cuando esté disponible.

• Monitorear de forma periódica las facturas emitidas y recibidas.

• Ante cualquier anomalía, contactar directamente al SAT por canales oficiales y evitar enlaces o correos no verificados.