La Agencia de Transformación Digital y Telecomunicaciones (ATD) y la Secretaría de Bienestar, desmintieron que haya habido un hackeo a los programas sociales: “No se trata de un hackeo o vulneración a la plataforma de los Programas del Bienestar”.
Sin embargo afirmó que “se detectó un ingreso no autorizado, mediante credenciales con usuario y contraseñas comprometidas, lo cual permitió tener acceso a información de algunos comités escolares de La Escuela es Nuestra”.
En la tarjeta informativa, difundida en su su cuenta de X @AgenciaGobMX, agregó que “los protocolos de ciberseguridad permitieron identificar y frenar la vulnerabilidad. Se trabaja en coordinación con la Secretaría de Bienestar en el monitoreo y en la revisión integral al sistema e implementación de nuevos controles para fortalecer la seguridad”.
El gobierno minimizó el incidente al distinguirlo de un hackeo estructural. Enfatizó que se trató de un acceso no autorizado usando credenciales ya comprometidas previamente, no una brecha directa en la plataforma principal de los Programas del Bienestar.
Reportes difundidos alertando sobre una filtración
Cabe señalar que previamente hubo reportes alertando sobre una filtración de aproximadamente 1 GB de datos sensibles. Estos incluían CURP, RFC, direcciones, teléfonos, fotografías de credenciales de elector, firmas, y hasta números completos de tarjetas bancarias de beneficiarios de programas como Jóvenes Construyendo el Futuro y Banco del Bienestar, particularmente en entidades como Hidalgo.
El gobierno federal minimizó el incidente al distinguirlo de un “hackeo” estructural. Enfatizó que se trató de un acceso no autorizado usando credenciales ya comprometidas previamente, no una brecha directa en la plataforma principal de los Programas del Bienestar.
Así también rechazó categóricamente cualquier hackeo masivo a las bases de datos generales. Aseguró normalidad en sus sistemas y que solo se afectaron datos específicos de algunos comités escolares del programa La Escuela es Nuestra, administrado por la SEP.
Explotación de vulnerabilidades
Expertos y críticos en ciberseguridad señalan que el uso de credenciales robadas para extraer datos masivos mediante scripts constituye una explotación de vulnerabilidades. Esto equivale técnicamente a un incidente de seguridad significativo, independientemente de la terminología oficial.
Es posible que al referirse que se trabaja en una revisión integral y en el fortalecimiento de controles, sea implementación de autenticación multifactor (MFA), recomendada en estos casos, indicaron los expertos.
Alegatos de filtraciones en otras plataformas
Previamente se han reportado alegatos de filtraciones en otras plataformas gubernamentales, lo que resalta desafíos en la protección de datos personales de millones de beneficiarios de programas sociales.
Uno de los más recientes y masivos hackeos de plataformas gubernamentales ocurrió a finales de enero de 2026, cuando el grupo Chronus reivindicó la filtración de 2.3 terabytes de datos de unas 25 instituciones públicas, afectando supuestamente a 36-36.5 millones de personas, es decir, alrededor del 28% de la población. Incluyó SAT, IMSS e IMSS-Bienestar, con 1.8 TB de datos de salud y protección social, SEP, Secretaría de Salud, gobiernos estatales y municipales, DIF y hasta el padrón de Morena.
Información masiva comprometida
La información contenía nombres, CURP, RFC, domicilios, datos médicos, padrones de programas sociales y más. El gobierno, vía la Agencia de Transformación Digital (ATD/ATDT), minimizó el incidente, señalando que gran parte de los datos ya habían circulado antes y que no se vulneró infraestructura central, solo sistemas obsoletos de terceros con credenciales comprometidas.
Otro antecedente es el de filtraciones recurrentes en la Secretaría de Educación Pública (SEP) y plataformas educativas (USICAMM, Proyecto Venus, SIIE, EscuelaNET, SUBES), con una masiva de 35.8 GB en 2026 afectando estudiantes, docentes y menores de edad.
En noviembre de 2024 se reportó una filtración masiva del INE con miles de selfies y datos de credenciales para votar (nombres, direcciones, CURP y correos electrónicos). Un año antes, en 2023, al menos media docena de fiscalías estatales fueron hackeadas, exponiendo documentos internos sensibles y generando alertas sobre riesgos a la seguridad pública.
En 2022, los Guacamaya Leaks expusieron 6 terabytes de correos y documentos de la Secretaría de la Defensa Nacional, revelando información militar, de inteligencia, salud presidencial y contratos públicos de la última década. Fue uno de los mayores incidentes de filtración de seguridad nacional en México.
Otros incidentes destacados
- Exposición de datos del Banco de Sangre del IMSS y otros sistemas de salud.
- Filtración en la Guardia Nacional, con más de 18 mil registros con identidades, CURP y datos operativos.
- Ataques históricos como el ransomware a Pemex (2019), el hackeo al sistema SPEI (2018) y filtraciones en portales de Transparencia Presupuestaria o gobiernos estatales (San Luis Potosí, Coahuila, Nuevo León).
¿Causas comunes?
Expertos señalan causas comunes como el uso de credenciales robadas o comprometidas, sistemas legacy/obsoletos administrados por terceros, falta de autenticación multifactor (MFA), configuraciones inseguras y una cultura de ciberseguridad deficiente en varias dependencias. En 2025, México registró al menos nueve filtraciones masivas que afectaron a más de 100 millones de registros, según reportes del INAI.
El gobierno federal suele responder minimizando el impacto, negando hackeos masivos a infraestructura central y atribuyéndolos a datos viejos o accesos con credenciales válidas, mientras activa protocolos, inhabilita accesos y promete revisiones. Sin embargo, críticos y analistas advierten de riesgos persistentes de robo de identidad, fraudes, extorsiones y doxxing, especialmente por el volumen de datos de programas sociales y biométricos.
Estos alegatos ilustran un desafío estructural en la protección de datos gubernamentales en México, con incidentes que se repiten anualmente y afectan a millones de ciudadanos. Se recomienda a la población monitorear cuentas bancarias, activar alertas de fraude y evitar compartir datos sensibles ante solicitudes no oficiales.
