En tan solo 10 días, al menos cinco gobiernos en México han sido hackeados por dos atacantes distintos que, sin enfrentar resistencia alguna, han vulnerado portales públicos de Cancún (Quintana Roo), Baja California Sur, Ciudad de México, Michoacán y San Pedro Cholula (Puebla).
A este panorama se suma también el caso de una universidad con sede en Morelos pero con presencia internacional. Todos los ataques han sido confirmados con evidencia técnica, dejando en claro que la tendencia sigue activa y las instituciones siguen expuestas.
Nuevos ataques a Baja California Sur y Cancún
Los ataques más recientes fueron cometidos por el actor c4t, identificado por su firma visual —un gato con sudadera frente a una laptop— y un mensaje que ya se ha vuelto característico: “Su seguridad es una mierda”.
En el caso de Baja California Sur, fueron vulnerados al menos tres subdominios oficiales de la Secretaría de Turismo y Economía:
- rapireg.setuesbcs.gob.mx
- eventos.setuesbcs.gob.mx
- economia.setuesbcs.gob.mx
Estos sitios están relacionados con trámites de asesoría empresarial, promoción turística y difusión de políticas económicas del estado.
En Cancún, el daño fue más inusual: dos subdominios oficiales del gobierno municipal alojaron archivos PDF manipulados, con el mensaje “Hacked by c4t” repetido múltiples veces. Los sitios alterados fueron:
- imdaicancun.gob.mx
- webimdai.cancun.gob.mx
Publimetro México verificó cada uno de los ataques, los cuales seguían activos al momento de escribir esta nota. Además, Zone-H, la plataforma internacional que registra defacements certificados, publicó los mirrors oficiales que confirman la intrusión. Las firmas Nico Tech Tips y TPX Security también han dado seguimiento técnico al incidente, coincidiendo en que se trata de ataques reales y documentados.
Ya habían hackeado CDMX, Puebla y Michoacán
Estos nuevos ataques se suman a otros tres ocurridos las mismas semanas:
CDMX: Drakonov toma sitios oficiales
Entre el 24 y 25 de marzo, el atacante Drakonov vulneró al menos nueve portales del gobierno de la Ciudad de México, incluyendo sitios como:
- plangobiernoabierto.cdmx.gob.mx
- proyectos.metro.cdmx.gob.mx
- juzgados-civicos.cdmx.gob.mx
Todos los casos fueron reportados en Zone-H y confirmados por TPX Security. Aunque el defacement fue eliminado en casi todos, algunos sitios permanecían inestables o “en construcción”.
Puebla: Servicio municipal de agua hackeado
Asimismo, el pasado 28 de marzo, c4t atacó el portal del Sistema Operador de los Servicios de Agua Potable y Alcantarillado de San Pedro Cholula (SOSAPACH), afectando la página sosapach.gob.mx. El sitio, de carácter municipal, presta servicios vitales a los habitantes del municipio poblano. El ataque fue validado en Zone-H.
Michoacán: 24 subdominios comprometidos
El 30 de marzo a la 1:30 de la madrugada, Drakonov ejecutó uno de los ataques más graves hasta ahora registrados: tomó control completo del servidor de la Fiscalía General del Estado de Michoacán, alterando al menos 24 subdominios relacionados con inteligencia, periciales, antecedentes, identificación, jurídicos, y más. La evidencia fue subida a Zone-H y corroborada por TPX Security.
Aunque la Fiscalía emitió un comunicado reconociendo el incidente, minimizó el alcance, asegurando que solo se trató de una afectación “visual” y que no se comprometió información sensible ni operativa. Sin embargo, los mirrors técnicos y los análisis externos contradicen esa versión, al demostrar que el atacante tuvo control total del entorno de hosting.
También cayó una universidad internacional
Además de los gobiernos, el hacker c4t también vulneró el portal de afiliados de la Universidad de Investigación e Innovación de México (UIIX), con sede en Morelos y operaciones en países como Colombia, Ecuador, Bolivia y EE.UU.. La universidad ofrece programas de posgrado en línea, lo que hace más grave el ataque al tratarse de una plataforma 100% dependiente de su infraestructura digital.
¿Por qué importa todo esto?
Expertos como Víctor Ruiz, fundador de SILIKN y analista certificado en ciberseguridad, han advertido que los defacements no deben tomarse a la ligera:
