Reportan hackeo al SAT y venta de datos biométricos en la Dark Web

Por:
El periodista y experto en seguridad digital, Ignacio Gómez Villaseñor, denunció la presunta venta de datos biométricos de contribuyentes mexicanos extraídos del SAT, ofrecidos en foros de hacking por 300 dólares. Entre la información ofertada están la e.firma, huellas, iris, firma, fotografía y RFC, con una calidad que sugiere acceso directo a bases de datos reales.
La denuncia se suma a una serie de alertas previas sobre vulnerabilidades en sistemas del SAT y otras instituciones públicas. Aunque el fisco negó haber sido hackeado y aseguró que sus sistemas son robustos, Gómez Villaseñor recordó antecedentes documentados de filtraciones y hackeos masivos, incluyendo ataques recientes que comprometieron a decenas de dependencias federales, estatales y universidades.
De confirmarse, la exposición de millones de registros con datos fiscales, biométricos y personales representaría un riesgo grave y permanente para la seguridad de la ciudadanía.
México: Reportan hackeo al SAT y venta de datos biométricos en la Dark Web
Foto: Archivo Servicio de Administración Tributaria (SAT).

Jessica Alcázar Zaragoza 

Ignacio Gómez Villaseñor, periodista experto en temas de seguridad digital, informó el 11 de enero en sus cuentas de redes sociales sobre la venta de datos biométricos de contribuyentes mexicanos presuntamente extraídos del Servicio de Administración Tributaria (SAT).

Gómez Villaseñor, quien en últimos días ha dado a conocer hackeos masivos a varias instituciones del país, publicó que un usuario, identificado en foros de hacking como “Straightonumberone”, ofrece el paquete completo de identidad: huellas, iris, firma, foto y RFC, extraído en tiempo real de los servidores del SAT, por 300 dólares.

El periodista afirmó que, junto con el especialista en ciberseguridad Nicolás Azuara, analizaron las capturas de un sistema interno que mostró el atacante en el foro y pudieron corroborar que “la interfaz gráfica (UI) y la paleta de colores corresponden a sistemas institucionales “legacy” (periodo 2012-2018), utilizados para el enrolamiento de la e.firma”.

Los ciberexpertos destacan que las huellas y escaneos de iris se ven con alta nitidez, lo que, según él, “descarta que sean capturas tomadas de manuales o guías de usuario”, lo que indica acceso directo a los archivos de imagen dentro de un repositorio o base de datos”.

Además, señalan que se trata de expedientes históricos reales, pues en una de las pruebas que presentó el atacante ―quien filtró recientemente bases de datos de la Fiscalía de Baja California y del Estado de México para ganar reputación― aparece una credencial del IFE, cuya vigencia coincide con la fecha de registro del contribuyente.

Lo alarmante, dice Gómez Villaseñor, es que se trata de datos inmutables, ya que “nadie puede cambiar sus huellas o su iris tras una filtración”.

“Si un servidor viejo o ‘bucket’ quedó olvidado y conectado sin seguridad, los biométricos de millones siguen ahí. Y esos no caducan”, explicó.

El 26 de diciembre, el periodista también publicó un video en el que explica que un atacante cibernético, que se hace llamar ByteToBreach, envió un mensaje al SAT para informar sobre la existencia de una vulnerabilidad que encontró en la aplicación Factura SAT Móvil, pero fue ignorado.

Ante la respuesta omisa del fisco, el hacker ―quien ya atacado antes a países como Uzbekistán, Chile, entre otros― dio a conocer en un foro de ciberdelincuencia que tiene 120 mil facturas con datos bancarios y fiscales de 2025 que extrajo de la aplicación y publicó evidencia técnica de cómo habría hecho la extracción.

El SAT afirmó en un comunicado que sus sistemas son robustos y no tienen vulnerabilidades, y negó que hayan sido hackeados: “Del análisis realizado a la infraestructura tecnológica de la aplicación Factura SAT Móvil, no se identifica evidencia de ningún hackeo, ni que la información se haya comprometido, tampoco se detectó la existencia de alguna vulnerabilidad (…) La autoridad tributaria cuenta con sistemas robustos que protegen la información de los contribuyentes, los cuales se encuentran en constante actualización”. 

Sin embargo, Gómez Villaseñor recordó que esta no es la primera vez que el SAT es hackeado, ya que previamente varios medios expusieron una vulnerabilidad que permitía extraer las constancias de situación fiscal de prácticamente cualquier persona, lo que también fue negado por el fisco.

Asimismo, el 30 de diciembre, el periodista expuso un hackeo masivo realizado por el grupo Chronus, el cual liberó información de al menos 20 instituciones públicas, entre las que están el SAT, el IMSS-BIENESTAR, los poderes judiciales de Sonora y Querétaro, la Secretaría de Hacienda de Sonora, Tribunal de Justicia Administrativa de la Ciudad de México, la Secretaría de Educación de Tabasco, entre otras universidades e instituciones de salud federales, estatales y municipales en Tlaxcala, Sonora, Zacatecas, Baja California, Nuevo León, Morelos y Ciudad de México.

Se trata de millones de registros activos y descargables que comprometen hoy mismo la seguridad fiscal, médica y física de la ciudadanía, como el caso de la exposición de 109,730 contribuyentes mediante archivos que cruzan datos como RFC, régimen fiscal y actividad económica, vinculándolos directamente con celulares personales y domicilios exactos.

En días recientes, el ciberexperto también dio a conocer el hackeo a la UNAM, a la Secretaría de Seguridad y Protección Ciudadana, la Guardia Nacional, algunas fiscalías estatales y el gobierno de Baja California, entre otras empresas e instituciones públicas.

Artículos Relacionados

Más Leídas