Gobiernos estatales y dependencias federales bajo amenaza cibernética: alertan por grupo de espionaje en México

3 octubre, 2025 | 13:51 | Alfredo Narváez | SILIKN

Un grupo de ciberespionaje pone en jaque a dependencias mexicanas – Foto: Pexels

El grupo criminal SideWinder, un actor peligroso del ciberespionaje internacional, ha redoblado sus operaciones y mantiene a México entre sus principales objetivos, según alertó la empresa de ciberseguridad mexicana SILIKN este viernes 3 de octubre a través de un comunicado.

Dependencias federales, estatales e instituciones críticas del país como la Secretaría de Marina (SEMAR), la Casa de Moneda de México y la Secretaría de Desarrollo Agrario, Territorial y Urbano (SEDATU)se encuentran en riesgo frente a una maquinaria de ataque en constante evolución.

México, un blanco prioritario

Aunque SideWinder tiene operaciones globales, México aparece de forma destacada entre sus blancos. Según SILIKN, al hay diferentes dependencias gubernamentales mexicanas en riesgo.

Congreso de Jalisco
Comisión Nacional de Seguridad Nuclear y Salvaguardias (CNSNS)
Comisión Nacional para el Conocimiento y Uso de la Biodiversidad (Conabio)
Gobierno del Estado de Guerrero
Gobierno del Estado de Tlaxcala
Gobierno del Estado de Veracruz
Gobierno del Estado de Durango
Secretaría de Marina (SEMAR)
Casa de Moneda de México
Secretaría de Desarrollo Agrario, Territorial y Urbano (SEDATU)

La investigación resalta que la vulnerabilidad de estas entidades forma parte de campañas sostenidas que apuntan directamente a comprometer información sensible y a ganar acceso persistente a los sistemas gubernamentales.

SideWinder, un viejo enemigo con nuevas tácticas

El grupo SideWinder, también conocido como Rattlesnake, T-APT-04 o Hardcore Nationalist, opera al menos desde 2012 y es sospechoso de tener vínculos con India.

A lo largo de más de una década ha perfeccionado sus métodos para infiltrarse en gobiernos, ejércitos e infraestructuras críticas de distintos países.

Desde agosto de 2024, la unidad de investigación de SILIKN detectó una campaña de phishing avanzado, en la cual los atacantes suplantaban plataformas de correo como Outlook y Zimbra mediante portales falsos.

[TE RECOMENDAMOS: Roban datos de 20 millones de pensionados; IMSS niega hackeo y habla de filtración]

Para dar credibilidad a sus engaños, utilizaron documentos apócrifos relacionados con compras de defensa o agendas diplomáticas, según SILIKN.

Los identificaron más de 125 dominios maliciosos vinculados a estas operaciones.

Su rapidez de adaptación es alarmante, según SILIKN, pues en cuestión de horas son capaces de modificar su malware, rotar servidores de comando y control (C2) y ajustar sus técnicas para maximizar el impacto en redes sensibles.

Zimbra, el punto débil institucional

Uno de los elementos más preocupantes en esta trama es el uso del sistema de correo Zimbra, adoptado por múltiples dependencias mexicanas y que se ha convertido en un verdadero talón de Aquiles institucional, según los expertos

SILIKN recordó que en noviembre de 2022, el colectivo Guacamaya aprovechó vulnerabilidades en Zimbra para extraer 6 terabytes (TB) de datos de la Secretaría de la Defensa Nacional (SEDENA).

En ese momento, al menos 60 dependencias estaban expuestas. En febrero de 2023, el grupo norcoreano Lazarus utilizó las mismas fallas para infiltrarse en servidores gubernamentales mexicanos y establecer accesos ocultos.

[TE PODRÍA INTERESAR: México bajo ataque: más de mil dependencias de gobierno en riesgo por ransomware Lyrix]

Un año después, en marzo de 2024, la UNAM fue víctima de un ataque que derivó en la filtración de 907.75 GB de correos electrónicos del IIMAS.

Ese incidente también afectó al Centro Estatal de Tecnologías de Michoacán y a varias alcaldías de la Ciudad de México. Se atribuyó a colectivos como TA473 y Hafnium.

En octubre de 2024, una nueva vulnerabilidad crítica en Zimbra permitió la ejecución remota de código sin autenticación. Esta falla dejó en riesgo a 83 dependencias, incluidas:

Alcaldía de Tláhuac
Sistema de Aguas de la CDMX
UNAM

Grupos como APT29 y Hafnium aprovecharon el fallo para tomar el control total de sistemas.

Estos incidentes muestran cómo una herramienta ampliamente utilizada se ha convertido en el punto de entrada favorito para actores maliciosos internacionales.

SILIKN advierte que SideWinder es una amenaza que pudo evitarse

El reporte de SILIKN recalcó que gran parte de la crisis actual pudo haberse prevenido. La empresa estima que 92.2% de los incidentes registrados en México se habrían evitado aplicando medidas básicas de ciberseguridad.

Entre las recomendaciones destacan:

Instalación oportuna de parches oficiales
Uso de autenticación multifactor
Restricción de privilegios de acceso
Ejecución de auditorías proactivas

La falta de actualizaciones convierte vulnerabilidades técnicas en un riesgo geopolítico. No se trata únicamente de información confidencial comprometida, sino de la estabilidad de sectores estratégicos y de la confianza ciudadana en las instituciones públicas.

SILIKN subrayó que la capacidad de SideWinder para mutar y atacar sin descanso demuestra que la pregunta ya no es si volverán a golpear, sino cuándo y con qué alcance.

“La ciberseguridad debe convertirse en una prioridad nacional. La capacidad de grupos como SideWinder para adaptarse y atacar sin tregua demuestra que la pregunta ya no es si volverán a atacar, sino cuándo y con qué consecuencias”, remató la empresa mexicana.