El pasado 18 de marzo de 2025, la Junta Municipal de Agua Potable y Alcantarillado de San Felipe, Guanajuato (JMAPA), sufrió un supuesto ataque cibernético que resultó en el robo de más de 40 millones de pesos. El hackeo, que se tradujo en múltiples transferencias bancarias sospechosas, ha encendido las alarmas sobre la seguridad digital en instituciones públicas mexicanas, pero también ha despertado sospechas sobre la posible participación de empleados internos en el fraude.
Indicios de un ataque interno
Según el experto en ciberseguridad Víctor Ruiz, instructor certificado y fundador de SILIKN, el incidente parece estar más relacionado con un ataque interno que con una infiltración de hackers externos. “Alguien obtuvo los datos de las cuentas bancarias y fue haciendo las transferencias. De hecho, en las noticias mencionan que los directivos fueron despedidos. Y quizá el atacante trabajaba en conjunto con uno o varios de los directivos”, señaló Ruiz.
La posibilidad de un ataque interno se refuerza con la naturaleza de las transacciones realizadas. Se registraron al menos 16 movimientos bancarios por montos que oscilaron entre 2 y 5 millones de pesos cada uno, lo que sugiere un acceso legítimo a los sistemas financieros de JMAPA. En estos casos, el uso de credenciales válidas permitiría realizar las transferencias sin levantar sospechas inmediatas en los sistemas de seguridad del banco.
Vulnerabilidades críticas en el sitio web de JMAPA
Más allá del desfalco financiero, el sitio web de JMAPA (https://sitio.jmapa.mx/) presenta severas fallas de seguridad que lo hacen susceptible a ataques cibernéticos. De acuerdo con un análisis realizado por SILIKN, estas vulnerabilidades incluyen:
- Uso de protocolos obsoletos TLS 1.0 y 1.1, lo que expone las comunicaciones a ataques de interceptación.
- Carga de JavaScript desde dominios externos sin validación, permitiendo la ejecución de código malicioso.
- Ausencia de cabeceras esenciales de seguridad como Content Security Policy (CSP), X-Content-Type-Options y Anti-clickjacking, dejando al sitio expuesto a ataques como Cross-Site Scripting (XSS) y Clickjacking.
Estas fallas no solo dejan en riesgo la integridad de los sistemas de JMAPA, sino que también pueden facilitar ataques internos. “Estas vulnerabilidades pueden ser explotadas por empleados que tengan acceso interno. Pueden interceptar datos aprovechando los protocolos TLS obsoletos, insertar scripts maliciosos mediante la carga de JavaScript externo sin control o manipular la interfaz y engañar a otros usuarios”, explicó Ruiz.
Un problema recurrente en dependencias mexicanas
El caso de JMAPA no es aislado. Ruiz advierte que múltiples organismos de agua potable en México presentan fallas similares. Entre los ejemplos recientes, SILIKN ha identificado vulnerabilidades en:
- Junta de Agua Potable, Drenaje y Alcantarillado de Irapuato, Guanajuato (vulnerabilidad en Windows Server).
- Sistema Operador de Agua Potable de Atlixco, Puebla (phishing en Microsoft 365 y vulnerabilidad en Windows Server).
- Agua y Saneamiento de Toluca, Estado de México (vulnerabilidad en Microsoft Office y WordPad sin parches).
- Organismo Operador de Cajeme, Sonora (phishing en Microsoft 365, vulnerabilidad en WordPress y Microsoft Office sin parches).
Este patrón revela que muchas dependencias públicas carecen de medidas de seguridad básicas, ya sea por falta de capacitación, ausencia de mantenimiento o incluso la negligencia de sus empleados.
¿Dónde está el dinero?
Tras el hackeo, el Ayuntamiento de San Felipe destituyó al consejo directivo de JMAPA y presentó una denuncia ante la Fiscalía General del Estado de Guanajuato; sin embargo, aún no se ha informado si el dinero podrá ser recuperado ni si las investigaciones han identificado a los responsables.
Lo que sí es claro, de acuerdo con Víctor Ruiz, es que la falta de una ley integral de ciberseguridad en México retrasa las investigaciones y deja a muchas instituciones vulnerables a ataques similares.
