La Agencia de Transformación Digital y Telecomunicaciones (ATDT) niega una nueva filtración de datos sensibles del gobierno de México tras el ataque digital reportado contra diversas entidades gubernamentales.
ATDT aclara que se trata del mismo ataque que se notificó a finales de diciembre de 2025, y precisa que es información que el mismo grupo de hackers circuló con anterioridad.
El organismo puntualiza que lo anterior se deduce después de analizar cuidadosamente el hecho de que en las últimas semanas surgió información sobre un posible ciberataque que afectó a múltiples instituciones públicas en México, comprometiendo bases de datos con información sensible.
Lee: Aumento de ciberataques para el cierre de 2025 – Amexi
¿A quién atribuyen el incidente?
Este incidente se atribuye al grupo de hackers conocido como Chronus, también referido como Cronos en algunos reportes, lo que genera preocupación por la seguridad de los datos personales de ciudadanos y funcionarios.
Se puntualiza que la reciente filtración de datos en instituciones públicas mexicanas se reporta a finales de diciembre de 2025 y que se le ha dado mayor difusión durante enero de 2026.
Esta situación genera gran inquietud entre la ciudadanía por el riesgo de exposición masiva de información personal y administrativa.
¿A cuáles instituciones se dice que accedieron?
El incidente, que involucra al grupo de hackers autodenominado Chronus, afirma haber accedido y difundido aproximadamente 2.3 terabytes de datos provenientes de al menos 25 instituciones públicas, federales, estatales y municipales.
Incluso en dependencias clave como IMSS-Bienestar, con la porción más grande de 1.8 terabites del Padrón del Sistema de Protección Social en Salud.
Este tiene datos de más de 3.1 millones de personas, como estatus de afiliación, ubicaciones, validaciones con RENAPO y códigos QR.
También del Servicio de Administración Tributaria (SAT), con información de más de 100 mil contribuyentes en algunos reportes.
Otras entidades como:
- La Secretaría de Educación Pública (SEP)
- Secretaría de Salud
- Comisión Nacional de Seguros y Fianzas (CNSF)
- Gobiernos estatales (Sonora, Querétaro, CDMX)
- Universidades
- Y hasta el partido Morena
Pudo afectar a 36.5 millones de personas, señalan expertos
Expertos en ciberseguridad estiman que la filtración podría afectar hasta 36.5 millones de personas, es decir, alrededor del 28% de la población mexicana con datos que incluyen:
- CURP
- RFC
- Domicilios
- Números de seguridad social
- Padecimientos médicos
- Información biométrica
- Y registros administrativos
La filtración se difundió en foros de la deep web y comenzó a circular ampliamente en redes sociales y medios entre los días 30 y 31 de diciembre de 2025, aunque el grupo advirtió previamente su intención.
Bases de datos completas, padrones y expedientes digitalizados
Se señala que se comprometieron bases de datos completas, padrones y expedientes digitalizados, lo que eleva riesgos como suplantación de identidad, fraudes, extorsiones y robo de identidad.
Entre las instituciones afectadas destacan:
- La Secretaría Anticorrupción y Buen Gobierno que anunció desde el 31 de diciembre de 2025 una investigación formal.
En esta investigación consideró hipótesis de hackeo externo, uso indebido de credenciales o filtración interna por servidores públicos. Se coordina con la Guardia Nacional y el INAI.
- La Agencia de Transformación Digital y Telecomunicaciones (ATDT) negó este viernes 30 de enero, un hackeo reciente a sistemas centrales o infraestructura crítica.
Afirma que gran parte de la información circulante corresponde a datos ya filtrados anteriormente por el mismo grupo Chronus, y que no se detectó exposición de datos sensibles nuevos ni afectación a plataformas estratégicas.
- El gobierno destaca medidas preventivas del Plan Nacional de Ciberseguridad 2025-2030, como capacitaciones a cientos de servidores públicos y alertas emitidas.
A pesar de la postura oficial que minimiza el impacto como algo «no nuevo«, analistas y medios independientes mantienen la alerta por la magnitud del volumen de datos y el precedente de vulnerabilidades recurrentes en instituciones públicas mexicanas.
La ciudadanía enfrenta incertidumbre sobre si sus datos ya circulan libremente y cómo protegerse ante posibles usos maliciosos derivados de esta megafiltración.
Usuarios y las contraseñas validos se inhabilitados inmediatamente
La Agencia de Transformación Digital subraya que la información comprometida se trata de sistemas obsoletos desarrollados y administrados por operadores privados para las entidades federativas.
Agrega que los usuarios y las contraseñas validos se inhabilitaros inmediatamente y que no se vulneraron las infraestructura de las autoridades, las cuales activaron todos los protocolos desde el primer momento en que se tuvo conocimiento de esta amenaza.
Área especializada:
Se precisa que la ATDT cuenta con un área especializada en ciberseguridad que, desde octubre de 2024, asesora y acompaña a las distintas autoridades.
Para ello, imparte capacitación a 613 servidores públicos, emisión de 204 alertas y notificaciones tempranas a dependencias para evitar fugas de información.
La obtención, posesión o difusión no autorizada de bases de datos es un delito, por lo que se presentarán las denuncias correspondientes ante las autoridades para que se inicie la investigación.
Investigaciones específicas por estas vulneraciones
La Secretaría Anticorrupción y Buen Gobierno, como autoridad responsable en materia de protección de datos y ciberseguridad en el sector público, emite comunicaciones oficiales al respecto.
La dependencia confirma que el 31 de diciembre de 2025 se identificó una presunta vulneración en las bases de datos personales de diversas instituciones públicas.
Debido a esta situación se inició de inmediato investigaciones de oficio para determinar el origen del incidente.
El análisis incluye todas las hipótesis posibles, como:
- Un hackeo externo
- Uso indebido de credenciales de acceso
- una filtración interna
Sin embargo, se indica que en la deep web se presume que el grupo Chronus obtuvo la información mediante un ciberataque.
Hasta el 12 de enero de 2026, la Secretaría de Anticorrupción tiene en curso al menos 20 investigaciones específicas por estas vulneraciones, que abarca dependencias federales y estatales.
Entre las instituciones afectadas se mencionan entidades como:
- El Servicio de Administración Tributaria (SAT)
- El Instituto Mexicano del Seguro Social (IMSS)
- Y gobiernos estatales como Sonora, Querétaro y la Ciudad de México
La dependencia enfatiza que se evaluarán fallas en las medidas de seguridad y se determinarán sanciones administrativas o penales si se detecta participación de servidores públicos.
Además, advierte que las instituciones involucradas deben cooperar en las indagatorias y presentar denuncias penales ante la Fiscalía General de la República (FGR) si es necesario.
El proceso se lleva a cabo con reserva y confidencialidad para no comprometer la evidencia. Hasta la fecha, no se confirma la filtración total de los datos, aunque el grupo Chronus amenazó con publicarlos y ya ha compartido fragmentos en la deep web.
Antecedentes del grupo Chronus
El grupo Chronus lo vincularon previamente a ciberataques similares en México, como son incidentes en entidades como San Luis Potosí y Coahuila, donde comprometieron información sensible de dependencias locales.
Este patrón evidencia una escalada en sus operaciones, pasando de ataques regionales a un posible asalto masivo a nivel federal.
En un contexto más amplio, México ha enfrentado múltiples ciberincidentes en instituciones gubernamentales en años recientes.
- En 2024 reporta un hackeo a la oficina de asuntos legales de la Presidencia, investigado por el gobierno de Claudia Sheinbaum.
- En marzo de 2025, sitios web del Gobierno de la Ciudad de México sufrieron un ataque de tipo «defacement«, afectando al menos nueve portales oficiales.
