Roban datos de 20 millones de pensionados; IMSS niega hackeo y habla de filtración

25 septiembre, 2025 | 11:00 | Alfredo Narváez | Agencias

Alerta por datos de pensionados del IMSS en la dark web | Foto: IA

Expertos en ciberseguridad confirmaron el robo de datos de casi 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS) para, posteriormente, ser vendidos en la dark web por parte del grupo criminal Scorpion. Y advirtieron que podría derivar en una ola masiva de fraudes dirigida a los afectados en el corto plazo.

El propio IMSS reconoció este martes “una posible filtración por el uso indebido de acceso a información institucional por parte del personal”. Por su parte, la presidenta Claudia Sheinbaum negó hoy, desde Palacio Nacional, que era “falso” que se filtrara dicha información.

Para este miércoles, uno de los periodistas que revelaron la filtración denunció que los atacantes también filtraron sus datos y llamó a la mandataria federal a no negar lo sucedido; hasta el momento, la Jefa del Ejecutivo no respondió.

Expertos alertan por la filtración de datos del IMSS

El viernes 12 de septiembre, Ignacio Gómez Villaseñor, periodista especializado en ciberseguridad, denunció en redes sociales que el grupo atacante Scorpion puso en venta datos médicos de 20 millones de mexicanos registrados en la base de pensionados del IMSS.

El especialista detalló que se estaba vendiendo información sensible de los pensionados, incluyendo:

Padecimientos médicos
Nombre
CURP
Fecha de nacimiento
Rango de edad
Modalidad de pensión

En ese momento, Gómez Villaseñor reconoció: “Los antecedentes evidencian altísima probabilidad de que sea real“.

No fue sino hasta el 23 de septiembre cuando Manuel Rivera, director de Nekt Group, confirmó a la periodista Carmen Aristegui que su equipo halló la publicación donde se vendían los datos de los pensionados del IMSS.

“Nuestro equipo de ciberpatrullaje ya investigó que sí está a la venta una base de datos de pensionados del IMSS 2025 en la dark web, sí está a la venta. Es una base de datos de 1.4GB y, presuntamente, sí son 20 millones de datos”.
Manuel Rivera, Nekt Group

Según sus palabras, si un actor malicioso pide información al respecto, los vendedores clandestinos de Scorpion envían evidencia de que existen los registros.

Rivera señaló que la base de datos está disponible desde el 9 de agosto; sin embargo, Ignacio Gómez Villaseñor recalcó que se puso a la venta desde el 12 de septiembre.

Por su parte, el fundador de la empresa de ciberseguridad SILIKN, Víctor Ruiz, identificó que circulaban en Telegram diversas bases de datos vinculadas a “Inferno Leaks“, entre ellas, registros de pensionados del IMSS.

“Se desconoce si son las mismas que acaba de vender Scorpion, pero la alerta es grave”, complementó Gómez Villaseñor.

IMSS niega hackeo o ciberataque: “Una posible filtración”, afirman

Hasta el momento, no se tiene registro de un hackeo, ciberataque o vulneración a los sistemas del IMSS que comprometiera los datos de pensionados, aseguró el propio Instituto Mexicano del Seguro Social este 23 de septiembre, a través de una tarjeta informativa difundida por Ignacio Gómez Villaseñor.

Sin embargo, reconoció: “Las investigaciones preliminares indican una posible filtración por el uso indebido de acceso a información institucional por parte del personal”.

El IMSS aseguró que se encuentra trabajando con las autoridades competentes para las investigaciones y acciones conducentes, incluyendo la aplicación de sanciones en caso de que procedan.

Asimismo, reafirmó contar con mecanismos robustos de seguridad y análisis de prevención de vulnerabilidades; sin embargo, cabe destacar que, en los pasados, expertos advirtieron por posibles vulnerabilidades.

Por su parte, la presidenta Claudia Sheinbaum fue cuestionada al respecto este miércoles en conferencia matutina por una periodista, a quien contestó: “Entiendo que es falso“.

Un día después, Ignacio Gómez Villaseñor reveló que el grupo atacante Scorpion le hizo llegar sus propios datos registrados en el Instituto. “Estos coinciden plenamente”, dijo.

Ante este panorama, el periodista llamó a la presidenta a no negar lo ocurrido. “Sé que admitir la vulneración del IMSS conlleva consecuencias legales, sociales y políticas, pero eso debe ser secundario”, escribió.

Hasta el momento, Claudia Sheinbaum no ha respondido al experto en ciberseguridad.

SILIKN alertó durante meses por vulnerabilidades del IMSS

En junio de este año, SILIKN, empresa de Victor Ruiz, alertó que el IMSS se encontraba en riesgo por una vulnerabilidad que permitía a atacantes instalar malware, robar datos o tomar el control del sistema afectado.

“No se requiere que el usuario haga clic o interactúe con el contenido, comprometiendo la seguridad de los datos médicos, financieros y personales de millones de derechohabientes“, señaló la compañía casi tres meses antes de la filtración.

[TE RECOMENDAMOS: ¡IMSS en riesgo! Esta vulnerabilidad lo pone en peligro de sufrir ciberataques, según expertos]

Por otro lado, en julio de este mismo año, la propia compañía de seguridad digital advirtió que el IMSS había sido aprovechado por el grupo criminal Greedy Sponge como señuelo en campañas de phishing, dado su acceso a una vasta cantidad de datos personales de millones de ciudadanos.

“La reiterada explotación del IMSS evidencia su vulnerabilidad y la necesidad de medidas inmediatas“, señaló la empresa de Victor Ruiz en aquel momento.

SILIKN también recordó que estos dos casos no eran los únicos que habían vulnerado al Instituto Mexicano del Seguro Social.

En 2019, sufrió un ataque de ransomware que interrumpió servicios esenciales debido a vulnerabilidades en sistemas desactualizados.

Por otra parte, en 2021, una filtración provocó que sus bases de datos con información personal de afiliados fueran puestas a la venta en internet.

SILIKN destacó que dichos eventos evidenciaron “fallas en las medidas de seguridad y expusieron a los derechohabientes a riesgos como suplantación de identidad, fraudes y ataques de phishing“.

“La creciente frecuencia de estos incidentes, en un contexto nacional de aumento en los ciberataques, pone en entredicho la solidez de las estrategias de ciberseguridad del IMSS y genera una legítima preocupación sobre la protección de datos personales, médicos y financieros”.
SILIKN

Cabe recordar que el IMSS no reconoció un ciberataque o hackeo, sino que atribuyó la venta de datos sensibles de sus pensionados a un error aprovechado por el grupo criminal Scorpion.

Scorpion, un viejo conocido en México

Scorpion se ha atribuido diversos ciberataques como la filtración de múltiples documentos y miles de datos del C5i de Hidalgo, sistema de cámaras de la entidad, según reportó Ignacio Gómez Villaseñor en abril de 2024.

“Filtró varios documentos en un foro de ciberdelincuencia de la dark web. Estaban varios documentos en PDF e información incluyendo datos personales, denuncias y todos los datos que podías encontrar en el sistema”, dijo el periodista.

@ignaciogvillasenor
Entrevista con Scorpion, hacker que vulneró al C5i de Hidalgo y la Fiscalía de Nuevo León. #Hacker #REAL #México #Ciberseguridad
♬ Inside Khattaf (Vocal Version) – Selim Arjoun

También se le atribuyó el hackeo a la fiscalía de Nuevo León que sucedió en diciembre del año pasado, reportó el propio Gómez Villaseñor.

“El líder del grupo Scorpion, que robó millones de documentos a la Fiscalía de Nuevo León vendió todas las carpetas de investigación que robó. Indica que fueron cerca de 200 mil carpetas por año”, dijo en enero de este año.

En este reciente caso de la venta de datos de 20 millones de pensionados del IMSS, tanto Ignacio Gómez Villaseñor como Manuel Rivera atribuyeron la responsabilidad al propio Scorpion, cuyo ataque provocaría un alto riesgo de fraudes.

¡Alertan por posibles fraudes a raíz de la filtración de datos del IMSS!

A raíz de la filtración de datos del IMSS, se espera un “boom” de llamadas o mensajes de texto hacia los pensionados del IMSS, no necesariamente por temas de salud, según dijo Gilberto Fragoso, especialista en Seguridad de la Información, en entrevista con Unotv.com.

En este sentido, el experto advirtió a los usuarios que los cibercriminales, que ahora tienen acceso a los datos médicos y nombre de la víctima, pueden buscarle por llamada o mensaje para ofrecerle una cirugía por un costo mínimo.

“Te pueden decir: ‘Oye, sé que en el IMSS no te están atendiendo’ o incluso pueden presentarse como un nuevo hospital o laboratorio y como promoción ofrecen cirugías“, complementó el especialista.

El siguiente paso es que los criminales pueden ofrecer la cirugía por un costo de 10 mil pesos y aseguran que, para apartar un lugar, se requiere de un depósito de 2 mil pesos. “Haces la transferencia y resulta que es fraude“, alertó Fragoso.

Cabe destacar que la filtración de datos también facilita las suplantaciones de identidad que, a la postre, permite a los delincuentes obtener créditos o préstamos a nombre de terceros.

¿Quiénes son las posibles víctimas?

Las potenciales víctimas de fraudes por la filtración de datos del IMSS son, precisamente, los pensionados cuyos datos fueron vendidos en la deep web.

El Instituto Mexicano del Seguro Social precisa que existen tres tipos de pensiones:

Las pensiones para el asegurado relacionadas con la edad, comprenden cesantía en edad avanzada, vejez y retiro anticipado
Las pensiones para el trabajador al ocurrirle un accidente de trabajo o padecer una enfermedad comprenden Incapacidad Permanente Parcial o Total e Invalidez
Las pensiones para los beneficiarios de un trabajador o pensionado, al momento de su muerte comprenden viudez, orfandad y ascendientes

En este sentido, los pensionados por edad, quienes sufrieron accidentes de trabajo y los beneficiarios adicionales podrían ser victimas de estafas.

Sin embargo, el mensaje que los atacantes le hicieron llegar a Villaseñor confirma que otros usuarios podrían estar comprometidos.

Recomendaciones para no caer en fraudes

La principal recomendación de Gilberto Fragoso es que los usuarios duden de cualquier acercamiento por redes sociales, vía teléfono o mensajería instantánea que haga énfasis en su estado de salud.

“Esa base puede ser utilizada de muchas maneras. La gente tiene que dudar de cualquier tipo de acercamiento, ya sea de un supuesto banco o de un supuesto laboratorio”, dijo Fragoso.

“Si reciben una llamada cuelguen o no tomen el mensaje y hablen directamente a la institución para validar que el acercamiento que tengan es correcto”.
Gilberto Fragoso, especialista en Seguridad de la Información

Por este motivo, es recomendable buscar en redes sociales o en internet que cualquier oferta sea cierta, además de revisar la reputación de las supuestas empresas que hacen contacto con el usuario antes de entregar cualquier información o dinero.