Buen Gobierno investiga posible incidente de seguridad en bases de datos públicas por caso Chronus Team

La Secretaría de Buen Gobierno inició una investigación formal por un posible incidente de seguridad que habría comprometido bases de datos con información personal en posesión de instituciones públicas. El caso está vinculado al grupo de ciberdelincuentes conocido como Chronus Team, señalado por presuntas intrusiones en sistemas gubernamentales de América Latina.

Fuentes oficiales confirmaron que el objetivo principal es dimensionar el alcance de una eventual filtración que podría exponer datos sensibles de ciudadanos, incluidos datos biométricos, identificaciones oficiales y registros civiles. La investigación se activó tras la aparición, la semana pasada, de muestras de información publicadas en foros clandestinos, atribuidas a accesos no autorizados a servidores federales y estatales.

Especialistas en ciberseguridad indican que el grupo emplea técnicas avanzadas de explotación, con énfasis en vulnerabilidades zero-day sobre plataformas legacy, particularmente bases de datos SQL sin parches y entornos con deficiente segmentación de red.

Detalles de la investigación

La Secretaría coordina acciones con la Guardia Nacional y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Los protocolos de respuesta a incidentes se activaron el 28 de diciembre de 2025 e incluyen:

• Auditorías forenses en al menos 15 instituciones públicas, priorizando repositorios de alto volumen como el Registro Civil y el Instituto Mexicano del Seguro Social (IMSS).

• Análisis de logs y telemetría para identificar el vector de entrada. De forma preliminar, se apunta a un ataque de cadena de suministro a través de proveedores con software desactualizado.

• Notificación selectiva a personas potencialmente afectadas, conforme a la legislación vigente en materia de protección de datos.

Analistas de una firma privada de inteligencia de amenazas advirtieron que Chronus Team operaría bajo un esquema de ransomware-as-a-service (RaaS), exigiendo pagos en criptomonedas para evitar la divulgación total de la información. El incidente vuelve a poner en el centro la deuda técnica en infraestructuras críticas del sector público y la necesidad de fortalecer capacidades de detección temprana.

Implicaciones y medidas preventivas

Hasta ahora no se han confirmado usos maliciosos de la información presuntamente expuesta —como fraudes de identidad a gran escala—, pero las autoridades reconocen que el riesgo persiste. La investigación podría derivar en sanciones administrativas o penales conforme al Código Penal Federal en materia de delitos informáticos.

Como medidas inmediatas, se recomienda a la ciudadanía:

• Monitorear movimientos bancarios y reportar anomalías.

• Activar autenticación multifactor (MFA) en servicios críticos.

• Evitar la reutilización de contraseñas y actualizar credenciales.

La Secretaría de Buen Gobierno anticipó la publicación de un informe preliminar el 10 de enero de 2026, con hallazgos técnicos y recomendaciones para mitigar riesgos estructurales.

NOTA IMPORTANTE: La reacción por parte del gobierno federal, es muy diferente a su mala costumbre de minimizar cualquier incidente o ignorar los avisos por parte de expertos. Parece que ahora si van a trabajar para atender estas filtraciones. Nosotros esteremos muy atentos para darte a conocer todos los detalles de este caso.