El Servicio de Administración Tributaria (SAT) enfrenta uno de los episodios más críticos en materia de ciberseguridad, con múltiples reportes de compromisos en sus sistemas. Las alertas no cesan: desde subdominios redirigidos a sitios fraudulentos y filtración de datos masivos de usuarios, hasta fallas en la página oficial que han afectado la operación de e.firmas y la capacidad de los contribuyentes para facturar. Expertos en ciberseguridad advierten sobre la gravedad de la situación y la necesidad urgente de una respuesta por parte de la autoridad fiscal.
Subdominio del SAT redirige a sitios fraudulentos
Germán Fernández, investigador en ciberseguridad, detectó que un subdominio del SAT (hxxps://cu1-anu-uat-pfemp.uat.clouda.sat.gob[.]mx) fue comprometido y redirige a usuarios a sitios de casinos fraudulentos. La lista de URLs comprometidas, ya indexadas en Google, incluye decenas de enlaces que conducen a sitios con nombres sospechosos, como “coin138,” “aladin69,” y “premium77″.
“Este subdominio podría ser manipulado para otras actividades maliciosas, como la descarga de malware, aumentando el riesgo de ataques en contra de los contribuyentes y usuarios de la página”, advirtió Fernández, quien trabaja activamente en detectar e interrumpir ciberamenazas en Latinoamérica.
Filtración de miles de usuarios y contraseñas del SAT
En paralelo, Iván Castañeda, ingeniero y maestro en tecnologías de la información, reportó la filtración de un total de 195,237 usuarios y contraseñas pertenecientes al SAT. Esta fuga de datos, probablemente obtenida mediante infostealers (programas maliciosos que roban información), representa una amenaza significativa para la seguridad de los usuarios.
Castañeda explicó a Publimetro México que desarrolló un script en Python para identificar y filtrar archivos que contenían información del SAT, utilizando palabras clave como “sat.gob.mx.” Al analizar los datos, verificó que se trataba de usuarios reales. Actualmente esta información sigue circulando en grupos de mensajería cifrados.
El especialista en OSINT (inteligencia de fuentes abiertas) advirtió que la información detallada —a la cual accedió Publimetro México para verificar su autenticidad— incluye RFC y contraseñas, lo que sugiere que los ciberdelincuentes lograron capturar la información en tránsito, probablemente en el proceso de envío de datos al SAT.
“Sí son usuarios reales RFC con contraseña, si los pruebas verán que son reales”
— Iván Castañeda, ingeniero y maestro en tecnologías de la información
Ante esta amenaza, los especialistas recomiendan a los contribuyentes cambiar sus contraseñas y eliminar cualquier software pirata que pueda estar comprometido con malware.
Revocación masiva de e.firmas y fallas en la página del SAT
Estos incidentes se suman a una cadena de problemas en el sistema del SAT que se han reportado en semanas recientes. A finales de octubre, miles de contribuyentes experimentaron la revocación masiva de sus e.firmas, lo que bloqueó sus trámites fiscales, incluyendo la emisión de facturas.
A pesar de que el SAT prometió que la situación se normalizaría, las fallas persisten para muchos usuarios, quienes siguen sin poder recuperar sus firmas y enfrentarán dificultades para realizar sus obligaciones fiscales.
El experto en ciberseguridad Víctor Ruiz, fundador de SILIKN, atribuyó los problemas de conexión en el SAT a un error 504, indicando que el sistema podría estar colapsado por exceso de tráfico o fallas de configuración en su servidor de origen, afectando tanto el portal web como la intranet de la entidad. Ruiz alertó que este tipo de interrupciones en los sistemas fiscales no solo genera retrasos económicos significativos para personas físicas y morales, sino que también refleja una gestión interna deficiente y posible vulnerabilidad ante ciberataques.
Datos de mexicanos siguen circulando en la deep web
En tanto, Nicolás Azuara, analista de ciberseguridad, también advirtió sobre la circulación de combolist en la deep web que contienen datos sensibles de millones de mexicanos, incluyendo información como la reportada por Iván Castañeda. Estas listas de credenciales filtradas aumentan el riesgo de suplantación de identidad y otros delitos cibernéticos, exponiendo a los usuarios a posibles fraudes y otros tipos de abuso.
“Este fin de semana recolecté 1,433,339 (registros de usuarios y contraseñas) del SAT. Habrá que ver cuántos se repiten”
— Advirtió Azuara a Publimetro México.
La situación actual del SAT plantea una crisis sin precedentes en materia de ciberseguridad. Mientras la autoridad fiscal no emite un comunicado oficial que aborde de manera exhaustiva cada uno de estos problemas, millones de contribuyentes están en riesgo, como han referido expertos en la materia.