El Acceso con Credenciales Reales: Una Nueva Amenaza en Ciberseguridad
La Agencia de Transformación Digital Advierte sobre Sistemas Obsoletos y el Papel del Phishing
En 2026, México enfrentó una serie de filtraciones y posibles hackeos en diversas instituciones gubernamentales. La Agencia de Transformación Digital y Telecomunicaciones (ATDT) ha revelado que, a pesar de los esfuerzos para contener la publicación de datos sensibles, el origen del acceso se encuentra en sistemas heredados y administrados por terceros. Lo más preocupante es que el acceso se logró utilizando credenciales válidas, que fueron inhabilitadas sin comprometer la infraestructura central. Esta situación subraya una tendencia preocupante: el acceso a sistemas no se debe a intrusiones técnicas complejas, sino al uso de identidades existentes dentro de sistemas obsoletos.
El investigador Lázaro Bustio, del Departamento de Estudios en Ingeniería para la Innovación en la Universidad Iberoamericana Ciudad de México, explica que el “phishing” –la manipulación para obtener información confidencial– es una práctica común. En estos ataques, el objetivo es inducir a la acción: abrir un enlace malicioso, descargar archivos infectados, revelar credenciales o autorizar el acceso. Bustio destaca que las máquinas son buenas detectando amenazas, pero los usuarios a menudo son más vulnerables debido a la confianza y la falta de precaución.
Credenciales Reales en Sistemas Obsoletos
La situación se agrava en entornos que operan con sistemas heredados: plataformas desarrolladas hace años, mantenidas por terceros y sostenidas mediante excepciones operativas. Estos sistemas tienden a concentrar cuentas con privilegios amplios y credenciales que permanecen activas por más tiempo del necesario. La ATDT identificó este enfoque como un punto central en el caso, ya que los atacantes utilizan estas credenciales válidas para acceder a sistemas obsoletos.
Las cifras de ciberseguridad en América Latina son alarmantes. Entre 2014 y 2023, los incidentes divulgados crecieron a una tasa anual de 25%. Para 2025, las organizaciones enfrentaban un promedio de 2,803 ataques semanales por empresa. Según el reporte “Ciberseguridad, habilitador de confianza y competitividad” de Endeavor e Incode, el 68% de las empresas identifica al phishing y la ingeniería social como su principal amenaza. En México, un preocupante 41% aún depende exclusivamente de contraseñas como mecanismo de autenticación.
Este contexto explica por qué el acceso con identidades reales es una de las rutas más utilizadas. Bustio señala que el phishing no se limita al robo de contraseñas; también se usa para instalar software malicioso o tomar control de cuentas con permisos elevados. Una vez que la acción ocurre, el acceso deja de verse como anómalo y pasa a operar como legítimo dentro del sistema.
El Costo de No Cerrar la Puerta a Tiempo
La presión no se limita a los problemas operativos. El costo promedio de una violación de datos en América Latina se ubicó en 3.81 millones de dólares en 2025, según el informe “Cost of a Data Breach Report” de IBM y Ponemon. El ciclo promedio de identificación y contención es de 241 días, y los incidentes contenidos antes de los 200 días presentan una diferencia de costo significativa. En México, el ransomware sigue siendo un problema importante: entre agosto de 2024 y julio de 2025, se registraron 237,000 intentos de ataque bloqueados.
Preguntas y Respuestas Clave
- ¿Cuál es la principal conclusión de la ATDT sobre el origen del acceso a los sistemas? La mayor parte de la información atribuida al caso ya había circulado antes y el origen se encuentra en sistemas obsoletos desarrollados y administrados por privados para entidades federativas.
- ¿Cómo se logra el acceso a los sistemas? Se utilizan credenciales válidas que fueron inhabilitadas, sin comprometer la infraestructura central.
- ¿Qué tipo de ataque es el phishing? Es la práctica de manipular a las personas para que realicen acciones en beneficio del atacante, como abrir enlaces maliciosos o revelar credenciales.
- ¿Qué tipo de amenazas identifican las empresas en México? El phishing y la ingeniería social son sus principales amenazas.
- ¿Qué medidas está tomando la ATDT para abordar esta situación? La ATDT cuenta con un área especializada en ciberseguridad, ha capacitado a 613 servidores públicos y ha emitido 204 alertas. Además, han publicado el Plan Nacional de Ciberseguridad 2025-2030 y la Política General de Ciberseguridad.
- ¿Qué tipo de sistema se considera más vulnerable? Los sistemas heredados y con operación distribuida, que tienden a concentrar cuentas con privilegios amplios.
El inicio de 2026 deja una fotografía clara: el acceso más rentable para el atacante sigue siendo el que opera con identidades reales. En sistemas heredados y con operación distribuida, el phishing sigue siendo el punto de entrada más frecuente. La situación subraya la importancia de abordar no solo las técnicas de ataque, sino también los procesos internos y la gestión de accesos.
