Una base de datos con información confidencial de alrededor de 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS) está siendo vendida en la dark web por 50 mil pesos. El archivo incluye nombre, CURP, número de seguridad social, dirección, padecimientos médicos, tipo de sangre y otros datos sensibles.

El periodista Ignacio Gómez Villaseñor, especializado en ciberseguridad, fue quien reveló la filtración. Señaló que el grupo de hackers conocido como Sc0rp10nn es responsable del robo y actualmente ofrece la base al mejor postor. El IMSS negó haber sido víctima de un hackeo, pero reconoció la posibilidad de una filtración interna por mal uso de acceso institucional por parte de su personal.

Este incidente no es el único que ha afectado al IMSS. Tan solo en 2025, expertos en ciberseguridad reportan tres hackeos a bases de datos del instituto, uno de los cuales expuso 56 millones de registros de derechohabientes.

Gómez Villaseñor advirtió que esta filtración representa un grave riesgo para los afectados, quienes podrían convertirse en víctimas de extorsión, fraude, suplantación de identidad o incluso ser objetivos para el crimen organizado. “Se trata de un cóctel de datos personales que permite cometer múltiples delitos, desde estafas hasta tráfico de órganos”, afirmó.

El periodista detalló que la información robada se vende por cantidades relativamente bajas. Incluso es posible pagar solo por consultar los datos de una persona específica. Además, indicó que el grupo responsable ha realizado otros ataques comprobados, como a la Fiscalía de Nuevo León y al C5 de Hidalgo.

La semana pasada, Gómez también reportó el hackeo de la base de datos de médicos que participaron en el proceso de selección de IMSS Bienestar en San Luis Potosí. Dicha base, de 4.7 gigabytes, incluía historiales médicos, datos personales, currículums y hasta información íntima de los aspirantes. Señaló que hasta hace dos días, aún era posible acceder a esa información en línea.

Por otro lado, el experto también confirmó recientemente la venta de 80 millones de registros personales extraídos del Infonavit. Dijo haber tenido acceso a una muestra de más de mil registros que validan la autenticidad de los datos.

Víctor Ruiz, fundador de Silikn y experto en ciberseguridad, corroboró que el IMSS ha sido blanco de múltiples ataques. Recordó que el pasado 11 de junio se difundió una base de datos con 56 millones de registros que, aunque podría incluir información antigua, sigue siendo de alto valor por la posibilidad de contactar a beneficiarios de personas fallecidas.

Ruiz también reportó una base de datos organizada por estados con 31 gigabytes de información, así como otra con 63 mil registros. Afirmó que, cuando los hackers no logran vender una base, la publican gratuitamente, lo que facilita su distribución y uso por otros grupos delictivos.

El 23 de mayo pasado, Ruiz informó sobre un hackeo masivo que afectó a diversas dependencias del gobierno federal, incluido el IMSS. El ataque expuso 725 gigabytes de información, pero no hubo respuesta oficial para mitigar el incidente.

Ruiz criticó al IMSS por la falta de protocolos, personal capacitado y políticas actualizadas de ciberseguridad. Aseguró que el instituto ha sido víctima recurrente de ataques de ransomware, phishing y suplantación de identidad sin implementar acciones efectivas para prevenirlos.

Por su parte, Manuel Rivera, de la firma de ciberseguridad NEKT Group, confirmó que la base de datos de pensionados fue vulnerada desde el 9 de agosto. Según sus análisis, el archivo pesa 1.4 gigabytes, lo cual concuerda con los 20 millones de registros ofrecidos. La autenticidad de la información fue confirmada mediante una “prueba de vida” solicitada directamente a los hackers.

En una tarjeta informativa, el IMSS aseguró que sus sistemas cuentan con medidas de seguridad y negó que su base de datos haya sido hackeada. No obstante, reconoció una posible filtración derivada del uso indebido de accesos institucionales por parte de personal interno, y anunció que colabora con las autoridades para investigar el caso y determinar sanciones.