A finales de 2024, un grupo de ciberdelincuentes llamado RansomHub afirmó haber hackeado los sistemas de la Consejería Jurídica de la Presidencia de la República, una dependencia del Gobierno de México encargada de asuntos legales y administrativos. Lo alarmante del caso fue que el grupo aseguró haber robado alrededor de 313 gigabytes de información sensible, incluyendo contratos, documentos financieros, pólizas y datos personales de empleados. Como parte de su estrategia de presión, publicaron una muestra de esos archivos en la llamada dark web y dieron un plazo para que el gobierno pagara un rescate, amenazando con liberar todo el contenido si no cumplían sus exigencias.
La noticia se difundió rápidamente y despertó gran preocupación, no solo por la magnitud del ataque, sino porque evidenció un problema que muchos expertos en seguridad llevan años señalando:
la infraestructura digital del país no está completamente preparada para enfrentar ataques de esta escala.
Aunque los ciberataques a instituciones públicas no son nuevos, este caso mostró cómo los grupos criminales han perfeccionado sus tácticas y cómo la ciberseguridad ya no es un tema técnico, sino un asunto de seguridad nacional.
Pero, ¿cómo lograron entrar los atacantes? Aunque los detalles exactos no se han revelado oficialmente, los analistas coinciden en que siguieron un patrón típico de los ataques de ransomware con doble extorsión, una metodología que combina robo y chantaje. En primer lugar, los atacantes necesitan una puerta de entrada. A veces esa puerta no es un sistema complejo ni una vulnerabilidad técnica, sino algo tan simple como una contraseña débil o una cuenta sin supervisión. En ataques previos contra otras instituciones mexicanas, se descubrió que los hackers habían usado credenciales de exempleados o accesos remotos mal configurados, como VPNs o escritorios virtuales sin autenticación multifactor. Todo indica que RansomHub pudo aprovechar un punto de acceso similar.
Una vez dentro de la red, los atacantes no lanzan el ataque de inmediato. Comienzan un proceso silencioso conocido como movimiento lateral, en el que exploran los servidores, identifican dónde se guarda la información más valiosa y obtienen permisos cada vez más amplios dentro del sistema. Es como si un intruso lograra entrar a un edificio por una puerta trasera y se moviera entre oficinas hasta encontrar la bóveda principal. Durante esa fase, recolectan datos de contratos, archivos financieros, documentos legales y bases de datos con información sensible.
Después viene la etapa más delicada: la exfiltración de datos, es decir, sacar la información del sistema sin ser detectados. Para evitar levantar sospechas, los hackers suelen hacerlo en pequeños fragmentos, usando canales cifrados o servidores externos. Cuando ya tienen suficiente material, lanzan el segundo golpe: la extorsión. RansomHub, como muchos grupos de ransomware modernos, no se conforma con bloquear los sistemas de la víctima; ahora amenaza con hacer públicos los datos robados si no se paga el rescate. Es lo que se conoce como la táctica de la “doble extorsión”.
En el caso mexicano, el grupo publicó una pequeña parte de los documentos robados como prueba de que el ataque era real. Entre los archivos se incluían contratos gubernamentales, listas de empleados y pólizas de seguros. Tras eso, dieron un plazo de varios días para recibir el pago. A partir de ahí, comenzó una carrera contrarreloj para contener el daño, evaluar el alcance del ataque y proteger los sistemas comprometidos.
El gobierno confirmó el incidente y anunció que se estaba llevando a cabo una investigación forense para determinar lo sucedido. La presidenta Claudia Sheinbaum declaró que se estaba recabando información para elaborar un informe detallado. En situaciones como esta, lo primero que debe hacerse es aislar los equipos afectados, desconectarlos de la red para evitar que el ataque se propague, y comenzar la recopilación de evidencias digitales (como registros o logs) que permitan rastrear la intrusión. Después, se revisan todas las credenciales de los usuarios, se cambian contraseñas, se eliminan accesos innecesarios y se aplican actualizaciones de seguridad en todos los sistemas.
Aunque no se sabe con certeza si el gobierno negoció o no con los atacantes, los expertos en ciberseguridad coinciden en que pagar el rescate nunca es recomendable. Además de financiar a grupos criminales, no existe garantía de que los datos sean eliminados o que los delincuentes no vuelvan a extorsionar en el futuro. En muchos casos, las víctimas que pagan terminan siendo atacadas nuevamente.
Más allá del rescate, el incidente dejó al descubierto debilidades estructurales en la gestión de la seguridad informática de las instituciones públicas. Algunas de las principales fallas que suelen estar detrás de este tipo de incidentes incluyen: cuentas de usuarios que permanecen activas tras la salida de empleados, contraseñas sin políticas de renovación, redes sin segmentación (lo que permite que, al entrar a un sistema, los atacantes accedan a todos), y la falta de monitoreo constante que permita detectar comportamientos inusuales a tiempo.
Este caso también demuestra que la ciberseguridad no depende solo de la tecnología, sino de las personas y los procesos. De poco sirve tener software avanzado si los procedimientos de control son débiles o si los empleados no están capacitados para identificar correos o llamadas sospechosas. Los atacantes saben esto, y por eso mezclan ingeniería social, robo de credenciales y vulnerabilidades técnicas para lograr sus objetivos.
Para el ciudadano común, el ataque al gobierno puede parecer algo lejano, pero deja lecciones muy prácticas que cualquiera puede aplicar. La primera es usar contraseñas únicas y seguras, y no repetirlas entre servicios. La segunda es activar siempre la autenticación en dos pasos (MFA) para evitar accesos no autorizados. También es vital mantener los sistemas actualizados y hacer copias de seguridad periódicas, ya que estos simples hábitos pueden marcar la diferencia entre perderlo todo o recuperarse rápidamente. Finalmente, debemos mantener una mentalidad de desconfianza saludable ante correos, mensajes o enlaces que pidan información personal o financiera.
El ataque de RansomHub es un recordatorio contundente de que la ciberseguridad es una responsabilidad compartida. Los gobiernos deben invertir en infraestructura segura, protocolos claros y capacitación constante, pero cada persona también juega un papel importante en mantener la cadena de protección. Un clic imprudente o una contraseña débil pueden ser el punto de entrada de un ciberataque que afecte a miles de personas.
Este episodio marcó un antes y un después en la conversación sobre seguridad digital en México. Por primera vez, muchos ciudadanos y funcionarios comprendieron que un ciberataque no es una escena de película ni un problema ajeno: es una amenaza real, silenciosa y en constante evolución. La lección más importante que deja RansomHub no es solo técnica, sino cultural: proteger la información no es opcional, es parte de la vida moderna.
En Ciberseguridad 101 seguiremos explicando este tipo de casos para que cada vez más personas comprendan cómo operan los atacantes, cómo identificar señales tempranas de riesgo y, sobre todo, cómo actuar a tiempo. Porque entender cómo ocurren los ataques es el primer paso para que no nos tomen por sorpresa.