Alertan que en la Dark Web se vende una base de datos de pensionados del IMSS

Por:
La institución mexicana negó que haya sufrido un “hackeo”, “ciberataque” o una vulneración de sus sistemas, pero reconoció una posible filtración interna.
México: Alertan que en la Dark Web se vende una base de datos de pensionados del IMSS
Foto: Archivo IMSS.

Redacción

El periodista especializado en ciberseguridad Ignacio Gómez Villaseñor y analistas privados reportaron que un grupo identificado como “Sc0rp10nn” (o variantes con ese alias) puso a la venta un archivo llamado “Pensionados IMSS 2025” con un tamaño aproximado de 1.4 GB y oferta pública en la Dark Web o “Red Oscura”.

De acuerdo con la empresa de desarrollo de software de ciberseguridad, Kaspersky, la Dark Web es un conjunto oculto de sitios de Internet a los que solo se puede acceder mediante un navegador especializado.

Aunque se utiliza para mantener la privacidad y el anonimato, la Dark Web también se puede emplear para actividades ilegales.

La base de datos, según Gómez Villaseñor, incluye nombres completos, las CURP, los números de seguridad social (NSS), direcciones, fechas de nacimiento y, en varios registros, padecimientos o notas médicas.

Especialistas de empresas de ciberinteligencia que revisaron la muestra ofrecida, para demostrar la venta, coincidieron en que los registros parecen verosímiles y en que la información suficiente puede facilitar estafas bancarias, extorsiones dirigidas y suplantación de identidad en trámites oficiales. 

Manuel Rivera, director de Nekt Group, dijo en entrevistas que su equipo verificó que la base estuvo disponible desde agosto y que los vendedores enviaban “pruebas” para certificar la veracidad de los datos. Expertos consultados por medios recomiendan suponer que los registros filtrados son auténticos hasta que una auditoría técnica determine lo contrario.

“Nuestro equipo de investigación, precisamente el que hace ciberpatrullaje, ya investigó que sí está a la venta una base de datos de pensionados del IMSS 2025 en la Red Oscura, en el Dark Web, ahí sí está a la venta, es una base de datos de 1.4 gigabytes, lo cual sí presuntamente pueden ser 20 millones de datos, sí está a la venta, si pides información sí se te manda evidencia, que es lo normal, de que existen registros distintos”, dijo Rivera a la periodista Carmen Aristegui.

Ante la difusión de la información, el Instituto Mexicano del Seguro Social (IMSS), que dirige Zoé Robledo, negó haber sufrido un “hackeo”, “ciberataque” o una vulneración a sus sistemas que haya comprometido sus datos.

No obstante, el IMSS reconoció una posible filtración de información.

“Las investigaciones preliminares indican una posible filtración por el uso indebido de acceso a información institucional por parte de personal”, difundió la institución en una tarjeta informativa.

El IMSS añadió que está trabajando con las autoridades competentes “para las investigaciones y acciones conducentes, incluyendo en su caso la aplicación de sanciones que procedan”.

El director general de NEKT Group, Manuel Rivera, expuso que el tipo de información puede ser utilizada para fraudes y otros ciberdelitos.

“Te pueden hacer fraude posando como laboratorio médico, con ofertas, como farmacia, como médico, ¿y quién no va a poner atención a una oferta para cuidar tu salud por mucho menos dinero?, entonces es algo grave”.

Varios medios y analistas recuerdan que en 2025 el IMSS ha registrado otras filtraciones o vulneraciones que involucraron millones de registros, lo que añade un contexto sobre la protección de datos personales de salud y de seguridad social en la institución. Esa acumulación de incidentes alimenta dudas sobre controles internos, gestión de accesos y procesos de auditoría.

Usuarios en redes sociales exigen que, en caso de que la filtración proviniera de personal con acceso indebido, se debe investigar la responsabilidad administrativa y penal de quienes entregaron o facilitaron los registros, y que se cumpla la Ley Federal de Protección de Datos Personales en Posesión de los Particulares y de normas aplicables al manejo de datos de salud. 

Mientras avanzan peritajes e investigaciones, las recomendaciones prácticas para pensionados son revisar estados de cuenta y movimientos bancarios, activar alertas en bancos, reportar intentos de extorsión o fraude a las autoridades competentes, no proporcionar información personal por teléfono ni por mensajes no verificados, y pedir a IMSS o a su clínica local información sobre si su expediente fue comprometido.

Los especialistas plantean protocolos más estrictos en ciberseguridad para el sector salud que contemplen esquemas de certificación, auditorías independientes periódicas y coordinación nacional para respuesta a incidentes que involucren datos personales masivos.

Artículos Relacionados

Más Leídas