Apenas hemos cruzado el umbral del primer trimestre de 2026 y el ecosistema de la ciberseguridad en México ya ha recibido su primera gran dosis de realidad. Si pensábamos que la infraestructura digital del Estado era un fortín inexpugnable tras las reformas de 2025, el reciente descubrimiento de nuevos dominios .gob.mx en los paneles de filtración de LockBit nos ha recordado que, en el mundo del ransomware, el diablo habita en la obsolescencia y en los privilegios mal gestionados.

Este incidente no es un simple "glitch" administrativo. Se trata de una exposición sistemática que ha mantenido en vilo a directores de seguridad (CISO) y organismos de inteligencia durante los últimos meses. En este artículo, analizaremos a fondo qué dependencias han sido listadas, por qué el modelo de Ransomware-as-a-Service (RaaS) sigue encontrando una mina de oro en las instituciones mexicanas y qué significa esto para la soberanía de los datos ciudadanos.

El Escenario: LockBit y su persistencia en el territorio mexicano

El inicio de 2026 no ha sido tranquilo para la administración pública. Mientras el país intenta consolidar su nueva Agencia de Transformación Digital, grupos de cibercriminales, liderados por los remanentes de LockBit (en sus versiones 3.0 y la emergente 5.0), han intensificado sus campañas de "caza mayor". México se ha posicionado, lamentablemente, entre los tres países más atacados por ransomware en América Latina, compartiendo el podio con Brasil y Colombia.

LockBit no es un actor nuevo, pero su capacidad de mutación es asombrosa. A pesar de las operaciones internacionales coordinadas por el FBI y la Interpol en años anteriores, el grupo ha logrado fragmentarse en células locales. Estos "afiliados" han puesto la mira en dominios gubernamentales no solo por el posible pago de rescates (que el gobierno mexicano rechaza por política oficial), sino por el valor de la exfiltración de datos en mercados secundarios de la Dark Web.

Anatomía de la Filtración: Los dominios bajo la lupa

Para entender el alcance de la investigación, debemos desglosar los hallazgos en el sitio de filtraciones (leak site) de LockBit. A diferencia de un ataque de denegación de servicio (DDoS) que solo tumba una página, el listado en LockBit significa que el atacante tiene control sobre los archivos internos.

El Caso Crítico: Comisión Nacional de Seguros y Fianzas (CNSF)

Uno de los nombres más recurrentes en los listados de LockBit ha sido el dominio vinculado a la CNSF. La filtración incluyó:

  • Documentación Sensible: Contratos, registros de fianzas y auditorías internas.
  • Datos Personales: Correos electrónicos de funcionarios de alto nivel y bases de datos de agentes de seguros.
  • El "Leakeo" Total: Tras cumplirse el plazo de extorsión, el grupo liberó más de 400 GB de información comprimida, lo que representó uno de los golpes más duros a la confianza del sector financiero estatal.

Salud y Gobiernos Estatales: El flanco más débil

La investigación revela que LockBit ha tenido un éxito desproporcionado en los sistemas de salud de los estados. Dominios pertenecientes a los Servicios de Salud de Veracruz (SESVER) y Morelos aparecieron con etiquetas de "Publicado". Aquí, la tragedia es doble: no solo se compromete la operatividad administrativa, sino que se exponen historiales clínicos que, por ley, deberían gozar de la máxima protección de confidencialidad.

Asimismo, gobiernos municipales como los de Chihuahua, Juárez y Zamora han visto sus dominios listados. Estos entes suelen compartir una vulnerabilidad común: presupuestos limitados para la actualización de servidores y una dependencia excesiva de sistemas heredados (Legacy) que ya no reciben parches de seguridad.

¿Cómo ocurre la infección? El factor humano y técnico

Muchos se preguntan cómo es posible que grupos criminales penetren dominios oficiales. La realidad técnica es menos sofisticada de lo que parece, pero mucho más difícil de combatir. Según el análisis de la firma de seguridad Seekurity, el acceso inicial suele ocurrir por tres vías:

  1. Credenciales Robadas: Mediante ataques de phishing o infostealers, los atacantes obtienen el usuario y contraseña de un empleado administrativo. Si el dominio no tiene implementado el MFA (Autenticación de Múltiples Factores), el atacante tiene alfombra roja al servidor.
  2. Vulnerabilidades en VPNs: El uso de redes privadas virtuales sin actualizar ha sido el "Talón de Aquiles". LockBit aprovecha fallos conocidos en dispositivos de borde para saltar de la red pública a la red interna del gobierno.
  3. El protocolo RDP expuesto: El Escritorio Remoto (RDP) dejado abierto hacia internet por error es, básicamente, dejar la llave puesta en la puerta principal. Los afiliados de LockBit usan ataques de fuerza bruta hasta que logran entrar.

El Impacto en 2026: Consecuencias para el Ciudadano

Cuando un dominio como sat.gob.mx o sedena.gob.mx aparece mencionado en foros de la Dark Web (aunque sea de forma tangencial o mediante subdominios), el impacto es inmediato. No se trata solo de un logo en una lista de hackers; es el combustible para una nueva ola de crímenes.

Robo de Identidad a Escala: Con la información exfiltrada, otros grupos criminales compran las bases de datos para realizar fraudes bancarios, suplantación de identidad y extorsiones telefónicas mucho más creíbles, ya que cuentan con datos reales obtenidos de las fuentes oficiales.

Parálisis Administrativa: En los casos donde el ransomware logra cifrar los sistemas (como sucedió con el municipio de Chihuahua), el ciudadano es el principal afectado al no poder realizar trámites básicos, desde el pago de predial hasta la obtención de actas de nacimiento o licencias.

Respuesta Gubernamental y el Plan Nacional de Ciberseguridad

Ante la crisis provocada por LockBit y grupos similares, el Gobierno de México ha acelerado la implementación de su Estrategia Nacional de Ciberseguridad 2025-2030. Entre las medidas que se están tomando para limpiar los dominios afectados y prevenir nuevos listados, destacan:

  • Soberanía de Datos en la Nube: La migración de servidores locales vulnerables a una infraestructura de nube privada administrada por el Estado con mayores capas de protección.
  • Cero Confianza (Zero Trust): La implementación de políticas donde ningún usuario, dentro o fuera de la red, es confiable por defecto, exigiendo verificación constante.
  • Ley de Ciberseguridad: Un marco legal que obliga a todas las dependencias a reportar incidentes en un máximo de 24 horas y establece sanciones para los funcionarios que negligencia en la protección de datos.

Una Carrera contra el Reloj

La aparición de dominios del Gobierno de México en el listado de LockBit es un recordatorio de que en la era digital, la seguridad no es un producto que se compra una vez, sino un proceso de vigilancia constante. El año 2026 marca un punto de inflexión: o el Estado logra consolidar una defensa unificada, o seguiremos viendo cómo la información de millones de mexicanos se subasta al mejor postor en los rincones más oscuros de la red.

Como administradores de sitios web, ciudadanos o funcionarios, la lección es clara: el eslabón más débil siempre será el que ignore la magnitud de la amenaza. La ciberseguridad ya no es una opción técnica, es una prioridad de seguridad nacional.

¿Crees que tu información podría haber sido expuesta en alguna de estas filtraciones? Mantente informado y activa siempre la verificación en dos pasos en todas tus cuentas vinculadas a servicios gubernamentales.