México bajo ataque: más de mil dependencias de gobierno en riesgo por ransomware Lyrix

4 junio, 2025 | 15:28 | Lucía P Castillo | SILIKN

Una nueva cepa de ransomware llamada Lyrix podría afectar a más de mil dependencias públicas en México, según alertó la firma de ciberseguridad SILIKN. De acuerdo con los expertos, esta amenaza está diseñada para atacar equipos con sistema operativo Windows y poner en jaque a instituciones clave del gobierno mexicano.

¿Qué instituciones se encuentran en riesgo?

La firma reveló que al menos mil 33 dependencias públicas del país están en riesgo por vulnerabilidades críticas en sus sistemas. Entre las instituciones en riesgo se encuentran:

Servicio de Administración Tributaria (SAT) – Verificación de Comprobantes Fiscales Digitales
Portal Tributario del Estado de Hidalgo
Comisión Nacional del Agua
Canal del Congreso
Ayuntamiento y Gobierno del Estado de Aguascalientes
INFONAVIT
Instituto Nacional del Derecho de Autor
Autoridad Certificadora del Gobierno del Estado de Guerrero
Congreso del Estado de Jalisco – Junta de Agua Potable
Crédito Educativo del Estado de Baja California
Sistema de captura de Inmuebles Escolares del Estado de Jalisco
Organismos operadores de agua en Puebla, Sinaloa y otras entidades
Administración Fiscal del Estado de Coahuila
Dirección de Juicios Laborales del Gobierno de Chihuahua
Consejo de Ciencia y Tecnología del Estado de Tabasco

Estas entidades, por el tipo de información que manejan, representan un objetivo atractivo para los cibercriminales que buscan extorsionar a instituciones clave del sector público.

“Lyrix representa una amenaza dinámica, capaz de mutar en tiempo real y adaptarse a nuevos entornos, lo que pone a prueba incluso a las defensas más avanzadas”.
SILIKN

¿Qué es el ransomware Lyrix y cómo ataca?

Lyrix fue creado en lenguaje Python y compilado con PyInstaller, lo que le permite ejecutarse fácilmente en Windows sin necesidad de instalaciones adicionales. Su diseño le permite analizar el entorno, localizar archivos confidenciales, cifrarlos con potentes algoritmos AES-256 y RSA-2048, que hace prácticamente imposible la recuperación de los archivos sin la clave de descifrado única en poder de los atacantes.

Además, Lyrix se distingue por emplear código polimórfico, una técnica avanzada que le permite modificar su estructura constantemente, evadiendo así los mecanismos tradicionales de detección basados en firmas utilizadas por las soluciones antivirus.

Nota de rescate emitida por Lyrix. | Foto: SILIKN.

Una vez que finaliza el cifrado, los archivos reciben una extensión personalizada, y el malware deja una “nota de rescate” en la que exige el pago, generalmente en criptomonedas a cambio de devolver el acceso.

Las amenazas para obligar el pago suelen incluir la eliminación permanente de los datos o su exposición pública si no se atienden las demandas dentro de un plazo determinado. Y es que, una característica alarmante de Lyrix es su enfoque en eliminar copias de seguridad disponibles, lo que aumenta la probabilidad de que las víctimas paguen el rescate.

Entre sus técnicas más peligrosas destacan:

Cifrado robusto con AES-256 y RSA-2048
Eliminación de copias de seguridad y puntos de restauración
Uso de código polimórfico para evadir antivirus
Conexión remota vía Tor con servidores de control

“Este comportamiento refleja un profundo entendimiento por parte de los atacantes de la infraestructura tecnológica de las organizaciones y sus protocolos de recuperación”, indicó la compañía.

**¿Cómo protegerse de Lyrix?**

SILIKN advierte que las organizaciones públicas y privadas deben reforzar su postura de ciberseguridad, adoptando una estrategia integral que incluya:

Actualizaciones frecuentes de software y parches de seguridad
Capacitación continua del personal para prevenir ataques de phishing
Implementación de soluciones de protección de endpoints con capacidades de análisis de comportamiento
Respaldos frecuentes almacenados fuera del alcance del sistema principal
Planes efectivos de respuesta a incidentes

Lyrix es una muestra más del nivel de sofisticación que están alcanzando los ciberataques. Su capacidad para evadir controles, eliminar respaldos y secuestrar información crítica pone en riesgo a cientos de sistemas institucionales y empresariales en México. Sólo mediante un enfoque proactivo y coordinado será posible mitigar su impacto y reducir el riesgo de pérdidas irreparables.