Al menos 83 dependencias gubernamentales en México —tanto federales como estatales— están en alto riesgo de ser hackeadas debido a una brecha de seguridad, la cual ha comenzado a ser explotada activamente por ciberdelincuentes, lo que podría llevar a la intromisión de personas no autorizadas a las cuentas de correo electrónico de millones de funcionarios.
El especialista en ciberseguridad Víctor Ruiz, fundador de SILIKN, emitió una advertencia urgente sobre una vulnerabilidad crítica en Zimbra, un software de colaboración ampliamente utilizado por gobiernos y empresas en todo el mundo. Según Ruiz, la vulnerabilidad, identificada como CVE-2024-45519, afecta al servidor SMTP de Zimbra, permitiendo la ejecución remota de código y dando a los atacantes control total sobre los sistemas afectados.
El descubrimiento de esta vulnerabilidad se dio el 1 de octubre de 2024, y a pesar de que Zimbra ya lanzó parches de seguridad para mitigar el riesgo, muchas instituciones aún no han actualizado sus sistemas. Entre ellas se encuentran algunas de gran relevancia para el país, como es el caso del Congreso de la Ciudad de México o la Guardia Nacional.
La falta de acción en la implementación de estas soluciones ha puesto a numerosas dependencias gubernamentales, entre las que se incluyen alcaldías, instituciones de salud, de educación pública y la Secretaría de la Defensa Nacional (Sedena), en una situación de gran vulnerabilidad.
Antecedentes de hackeos en México por Zimbra
Este no es el primer incidente grave que involucra a Zimbra en México. En marzo de 2024, el grupo de hackers conocido como Mexican Mafia lanzó un ataque masivo contra el Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas (IIMAS) de la UNAM, filtrando más de 900 GB de correos electrónicos confidenciales.
Esta filtración, reportada por Publimetro México, no solo comprometió la información académica y administrativa de la institución, sino que también puso en riesgo la reputación y seguridad de la universidad.
Asimismo, en abril de 2024, Mexican Mafia llevó a cabo otro ataque bajo el nombre de “Chilango Leaks”, en el que expusieron más de 2.1 millones de correos electrónicos confidenciales de servidores públicos del Gobierno de la Ciudad de México.
Los datos robados incluían comunicaciones internas desde 2015 hasta 2024, afectando seriamente la seguridad de varias dependencias de la capital. En ambos casos, la vulnerabilidad explotada fue la misma: Zimbra.
El caso de Chilango Leaks, en particular, mostró cómo un simple fallo en la seguridad de los sistemas basados en Zimbra puede derivar en la exposición masiva de datos confidenciales. El hacker conocido como “Lord Peña” ofreció públicamente esta información a la venta en Breach Forums y posteriormente liberó gran parte de los datos de forma gratuita.
Alto riesgo de vulnerabilidad
Los expertos en ciberseguridad han advertido que la falta de actualización de sistemas por parte de las instituciones es una de las principales razones por las que estas vulnerabilidades siguen siendo explotadas. Según SILIKN, grupos de ciberespionaje de nivel estatal, como Lazarus, APT29 y Hafnium, están monitoreando activamente estas brechas para llevar a cabo ataques dirigidos. Estos grupos suelen enfocarse en dependencias gubernamentales y organizaciones clave para robar información confidencial y generar caos dentro de las infraestructuras críticas.
“Miles de empresas y millones de usuarios confían en Zimbra Collaboration Suite para servicios de correo electrónico, calendario, chat y videoconferencias. Esta popularidad ha convertido a Zimbra en un objetivo atractivo para los ciberdelincuentes. Un ejemplo reciente es el descubrimiento de cuatro actores de amenazas persistentes avanzadas (APT) de origen chino que explotaron una vulnerabilidad de día cero en Zimbra (CVE-2023-37580) para atacar agencias gubernamentales a nivel mundial”
— Víctor Ruiz, instructor certificado en seguridad informática y fundador de SILIKN
Alerta a las dependencias mexicanas
SILIKN instó a todas las dependencias afectadas a que apliquen de inmediato las actualizaciones de seguridad necesarias para prevenir futuros ataques y precisó que no actuar rápidamente podría tener consecuencias graves para la seguridad y la privacidad de la información crítica del gobierno mexicano.
La inacción podría derivar en más filtraciones, afectando no solo a las instituciones gubernamentales, sino también a la población que depende de los servicios que estas ofrecen.
Lista de instituciones que se encuentran en riesgo de hackeo
1. Alcaldía de Tláhuac de la Ciudad de México
2. Alcaldía de Tlalpan de la Ciudad de México
3. Alcaldía de Xochimilco de la Ciudad de México
4. Alcaldía Iztacalco de la Ciudad de México
5. Alcaldía La Magdalena Contreras de la Ciudad de México
6. Auditoría Superior del Estado de Nuevo León
7. Ayuntamiento de Morelia, Michoacán
8. Caja de Previsión de la Policía Auxiliar de la Ciudad de México
9. Centro Estatal de Tecnologías de Información y Comunicaciones de Michoacán
10. Comisión Estatal de Servicios Públicos de Tijuana
11. Comisión Nacional de Vivienda
12. Comisión Nacional para el Conocimiento y Uso de la Biodiversidad
13. Congreso de la Ciudad de México
14. Consejería Jurídica y de Servicios Legales del Gobierno de la Ciudad de México
15. Consejo de Ciencia y Tecnología del Estado de Tabasco
16. Consejo Estatal de Seguridad Pública en el Estado de Campeche
17. Consejo Nacional de Humanidades, Ciencias y Tecnologías
18. DIF — Gobierno de la Ciudad de México
19. DIF — Gobierno del Estado de Sonora
20. Dirección de Seguridad Pública Municipal de Torreón
21. Dirección General De Presupuesto de la UNAM
22. Estado de San Luis Potosí
23. Facultad de Ingeniería de la UNAM
24. Fideicomiso Fondo Nacional de Fomento Ejidal
25. Fiscalía del Estado de Tabasco
26. Fiscalía General de Justicia del Estado de México
27. Fiscalía General de Justicia del Estado de Zacatecas
28. Fiscalía General del Estado de Colima
29. Fondo para el Desarrollo Social de la Ciudad de México
30. Gobierno de Chiapas
31. Gobierno de la Ciudad de México
32. Gobierno del Estado de Jalisco
33. Gobierno del Estado de Michoacán
34. Gobierno del Estado de Tlaxcala
35. Gobierno Municipal de Chihuahua
36. Gobierno Municipal de Irapuato
37. Guardia Nacional
38. Instituto de Becas y Crédito Educativo del Estado de Sonora
39. Instituto de Control Vehicular
40. Instituto de Investigaciones en Matemáticas Aplicadas y en Sistemas de la UNAM
41. Instituto de Seguridad Social del Estado de Tabasco
42. Instituto Nacional de Enfermedades Respiratorias
43. Instituto Nacional de Psiquiatría
44. Instituto Nacional de Rehabilitación
45. Instituto Nacional del Suelo Sustentable
46. Instituto Potosino de la Juventud
47. Junta Municipal de Agua y Saneamiento de Ciudad Juárez
48. Municipio de Tecámac del Estado de México
49. Organismo Operador de Agua Potable, Alcantarillado y Saneamiento de Morelia
50. Órgano Superior de Fiscalización del Estado de Tabasco
51. Pase Turístico — Secretaría del Medio Ambiente
52. Poder Judicial del Estado de México
53. Poder Judicial del Estado de San Luis Potosí
54. Policía Auxiliar de la Ciudad de México
55. Procuraduría Federal de la Defensa del Trabajo
56. Radio Educación — Secretaría de Cultura
57. Red de Transporte de Pasajeros de la Ciudad de México
58. Secretaría de Administración del Gobierno de Zacatecas
59. Secretaría de Administración y Finanzas de la Ciudad de México
60. Secretaría de Desarrollo Agrario, Territorial y Urbano
61. Secretaría de Educación del Gobierno de Chiapas
62. Secretaría de Educación y Cultura del Gobierno de Colima
63. Secretaría de Finanzas del Estado de Tlaxcala
64. Secretaría de la Contraloría General de la Ciudad de México
65. Secretaría de la Defensa Nacional
66. Secretaría de Marina
67. Secretaría de Movilidad de la Ciudad de México
68. Secretaría de Protección y Seguridad Ciudadana del Estado de Campeche
69. Secretaría de Salud de Coahuila
70. Secretaría de Salud de Jalisco
71. Secretaría de Salud de la Ciudad de México
72. Secretaría de Salud del Gobierno del Estado de Sonora
73. Secretaría de Seguridad Pública del Estado de Guerrero
74. Secretaría Ejecutiva del Sistema Nacional Anticorrupción
75. Secretaría Municipal de Seguridad Pública y Tránsito de Cancún, Quintana Roo
76. Servicios de Educación Pública de Nayarit
77. Servicios de Salud Pública de la Ciudad de México
78. Sistema de Aguas de la Ciudad de México
79. Sistema de Información y Comunicación del Estado de Puebla
80. Sistema Informático de Recibos de Nómina del Poder Judicial del
81. Subdirección de Asuntos Escolares del Posgrado de la UNAM
82. Unidad Estatal de Telecomunicaciones del Estado de Guerrero
83. Universidad Autónoma Agraria Antonio Narro
