Vulnerabilidad cibernética…

UNA VEZ QUE los datos son robados y ubicados en la llamada Red Profunda del Internet, es imposible que se detenga su venta. El padrón electoral del INE –en ataques perpetrados en 2016, 2018 y 2021) allí andan, al mejor postor con un costo entre 750 a dos mil 500 dólares que se podían conseguir en mercados negros como RaidForums, incluso en plataformas como Telegram, Amazon o Mercado Libre así como en sitios como buscardatos.com y digitalocean. Es cuestión de rascarle tantito.

A esto sume los robos de documentos de organizaciones como Guacamaya Leaks de 2022 (6 terabytes de la Sedena), ataques a Pemex (2019), Lotería Nacional (2021) y el Banco de México (2018). Y el primero en el sexenio de Sheinbaum ocurrió al mes de tomar posesión que afectó a la Consejería Jurídica del Ejecutivo Federal de la presidencia De seguro siguen extorsionando a este gobierno.

Y aunque no está verificado, también se sabe del robo de información de plataformas del SAT, Bienestar o empresas telefónicas en lo que se llamó "Inferno Leaks", una supuesta base de datos de 700 GB que incluye información electoral, bancaria y fiscal, vendida en Telegram.

En 2024, México registró 324,000 millones de intentos de ciberataques, liderando América Latina, según el Global Threat Landscape Report 2025 de Fortinet. Hay otras fuentes que patentizan este dato con un promedio diario de 59 millones. Del total se bloquearon 3.1 billones de intentos de ataque y 2.5 billones de entregas de malware lo que sugiere que muchas amenazas son neutralizadas antes de causar daño.

Sin embargo, en nuestro país hay un déficit al día de hoy de 260 mil profesionales en ciberseguridad (egresan diez mil por año de las universidades) y la inversión es insuficiente (30% menor que en economías desarrolladas), lo que lo hace de México un blanco atractivo.

El gran peligro:

Cybersecurity Ventures, una organización especializada, sugirió hace unos meses que existen decenas de miles de actores (individuos y grupos) en el ecosistema del cibercrimen, incluyendo proveedores de herramientas y según estimaciones aproximadas del World Cybercrime Index (2024), la actividad está concentrada en Rusia, Ucrania, China, Estados Unidos, Nigeria y Rumania como principales centros.

Europol y Fortinet hablan de al menos 67 grupos con diez grandes sindicatos agrupados hasta en diez mil bandas criminales en el mundo. Hablamos de un mercado de explotación de 10.5 billones de dólares en los pasados doce meses.

Ahora que se han estado aprobando las leyes en materia de comunicación y aprovechamiento digital, incluyendo la plataforma Llave MX, no se establecen ni estrategias, ni montos, para cobijar la ciberseguridad adecuada y es que, en realidad, siendo sarukis, esas nuevas disposiciones legales abren la puerta para que el crimen organizado se de lija.

Los datos conllevan huellas dactilares, que pueden replicarse usando técnicas como moldes de silicona para desbloquear sistemas biométricos, las fotos que con IA se facilitan y el escaneo del iris, que se les complicaría un poco más pues requiere de 200 puntos de referencia y detección de vivacidad, pero qué tanto es tantito.

Con estos datos se les facilitaría el suplantar identidades y con ello abrir cuentas bancarias, realizar transacciones fraudulentas o registrarse en servicios bajo nombres falsos, promocionando el lavado de dinero, fraudes financieros o el uso de identidades robadas para actividades ilícitas, como contrabando o tráfico de personas.

También los delincuentes podrían manipular estos sistemas para obtener beneficios, como subsidios, documentos falsos (pasaportes, licencias, credenciales de elector) o acceso hasta en los afamados programas sociales comprometiendo la integridad de sistemas como el Registro Nacional de Población, entre otros.

Es factible que puedan extorsionar, chantajear, contrabandear, evadir autoridades, realizar ataques dirigidos, burlar las medidas de seguridad, incrementar el robo violentando sistemas financieros y un etcétera así de largo. Y son ciertas las críticas vertidas por grupos como R3D y partidos de oposición pues el gobierno puede vigilar o atentar contra aquellos que se oponen contra la 4T.

Aunque la reforma se justifica por la búsqueda de personas desaparecidas, expertos como Jorge Alcocer argumentan que el INE ya tiene datos biométricos suficientes (95% de adultos), y la CURP biométrica podría ser un pretexto para vigilancia estatal, como señaló Ricardo Anaya.

Aunado a lo anterior, y conforme a experiencias en otros países a México le tomaría entre cinco y diez años lograr el propósito con un costo estimado en 500 millones de dólares, siempre y cuando utilice para su objetivo los 850 módulos del INE que implicaría otro tipo de internegociaciones.

Hay antecedentes pues países como India, China, Uruguay, Nigeria, Estados Unidos y los 27 de la Unión Europea han implementado sistemas biométricos a gran escala, con tiempos de desarrollo de entre 3-15 años y costos que varían desde $1-2 USD por persona (India) hasta miles de millones de dólares (EE. UU., UE).

Conforme a la ley el gobierno tiene 90 días para implementar la plataforma Llave MX y dos años para contar con los datos biométricos de los mexicanos. No creo que lo logren pues todo lo hacen al trochi mochi.

A ello sume que la Ley Nacional para Eliminar Trámites Burocráticos, las reformas a la Ley General de Población y la Ley General en Materia de Desaparición Forzada pega en jurisprudencias ya establecidas conforme a la SCJN (acción 66/2021), ¿recuerda aquel proyecto del 2022 que buscaba que las empresas de celulares financiaran con dos mmdp y entregaran al gobierno el Padrón Nacional de Usuarios de Telefonía Móvil, PANAUT?, pedían el mismo tipo de datos.

La Plataforma Única de Identidad, que interconecta la información con bases públicas y privadas permite un monitoreo en tiempo real sin control judicial, --remember el PANAUT--, violando la privacidad (artículo 16) y cuya obligatoriedad sin consentimiento libre, centralización masiva y la falta de medidas de seguridad eran entonces y lo son hoy, desproporcionadas.

A su vez los ministros (nueve votos contra dos) establecieron entonces que se afectaba el artículo primero en relación a la igualdad al afectarse a poblaciones vulnerables (adultos mayores, personas con discapacidades, comunidades rurales) que podrían quedar excluidas si sus datos biométricos no eran legibles. Y así nos podemos ir, aunque ya sabemos para donde se conducirá la nueva SCJN.

Por supuesto, es un tema aparte la mención de que tal padrón lo está solicitando el gobierno de EU.

EN FIN, por hoy es todo, mañana le seguimos si Dios quiere.

Armando Vásquez Alegría es periodista con más de 35 años de experiencia en medios escritos y de internet, cuenta licenciatura en Administración de Empresas, Maestría en Competitividad Organizacional y Doctorando en Administración Pública. Es director de Editorial J. Castillo, S.A. de C.V. y de “CEO”, Consultoría Especializada en Organizaciones…                                                                                                                                                                                                                                  

Correo electrónico: archivoconfidencial@hotmail.com                                                                                      

Twitter:   @Archivoconfiden                                                                                               

 https://www.facebook.com/armando.vazquez.3304