Una base de datos atribuida al Servicio de Administración Tributaria (SAT) quedó expuesta en foros de ciberdelincuencia, donde un grupo identificado como Sc0rp10n difundió sin costo un archivo con información sensible de millones de contribuyentes. El material alcanzó un tamaño de 8.16 gigabytes en texto plano y concentró al menos 6.5 millones de registros individuales.
El contenido incluyó nombres completos, direcciones particulares, fechas de nacimiento, Registro Federal de Contribuyentes (RFC) y Clave Única de Registro de Población (CURP), lo que colocó en riesgo la privacidad de los ciudadanos afectados. Especialistas en seguridad digital advirtieron que este tipo de filtraciones suele derivar en fraudes, suplantación de identidad y extorsiones dirigidas.
- El Dato: En redes sociales circuló ayer la publicación de un supuesto hacker que ofertaba una base de datos de afores de 88 mil 483 mexicanos, sin precisar el costo de éste.
Darío Ramos Ochoa, especialista en ciberseguridad y hacker ético, alertó que este tipo de filtraciones alimentan delitos silenciosos: “El ciudadano no se entera cuando su información circula, pero meses después enfrenta cargos no reconocidos, extorsiones o suplantación de identidad. Ese es el verdadero daño”.
Sheinbaum destaca inversión de 315 mil 331 mdp en carreteras; “queremos conectar al país”
El grupo responsable de la filtración aseguró en un foro público que el archivo provenía de una extracción realizada hace dos años. “Me enteré de que una base de datos privada del SAT, extraída por mi equipo y yo en 2024, está siendo difundida y monetizada por terceros que intentan atribuirse el mérito”, señaló.
Ramos Ochoa explicó que la antigüedad de la información no reduce el riesgo para los ciudadanos. “Existe la idea de que datos viejos ya no sirven, pero en realidad funcionan como piezas clave para armar perfiles completos. Un RFC o una CURP siguen vigentes durante toda la vida, y eso los convierte en activos valiosos para el crimen”, reconoció.
- 40 gigas de 640 mil trabajadores portruarios se filtraron el martes
La publicación añadió que la liberación del archivo respondió a disputas dentro de la propia comunidad criminal. “Si es mía, nadie se beneficia excepto yo. La estoy publicando gratis. Sin intermediarios. Sin ladrones de crédito. Sin reputaciones falsas construidas sobre mi trabajo. Disfrútenla”, afirmó el grupo.
Además, el autor reconoció inconsistencias técnicas en los archivos. “Cuando extrajimos los datos, cometimos el error de recuperarlos dos veces. En segundo lugar, los datos originales, sin duplicados, constan de 6.5 millones de líneas. Por último, algunos archivos tendrán fechas mixtas; se trata de técnicas de manipulación de marcas de tiempo que preparamos para engañar los métodos de seguridad o seguimiento”, detalló.
Esta no es la primera vez que el grupo Sc0rp10n colocó en el espacio público información sensible de instituciones mexicanas. Su historial evidencia una trayectoria constante de ataques contra bases de datos gubernamentales, con episodios que involucraron millones de registros y dependencias clave del país.
- 352 archivos contiene el documento que se filtró
Lejos de tratarse de un episodio aislado, la presencia de Sc0rp10n en México respondió a un patrón sostenido de ataques contra instituciones públicas. Especialistas en ciberseguridad lo ubican como un grupo enfocado en extracción, comercialización y difusión de bases de datos, con operación frecuente en foros clandestinos y espacios de la dark web, donde su reputación se construyó a partir del volumen y valor de la información filtrada.
En septiembre de 2025, comercializó una base con datos personales y médicos de aproximadamente 20 millones de derechohabientes del Instituto Mexicano del Seguro Social (IMSS). El investigador Ignacio Villaseñor afirmó en entrevista de radio que ese paquete “habría sido vendido por 50 mil pesos”, una cifra que evidenció el bajo costo con el que circulan datos altamente sensibles.
Reportes de especialistas también lo vinculan con la filtración de una base de datos del Partido Revolucionario Institucional (PRI), que incluiría 1.35 millones de imágenes de credenciales de elector en diciembre de 2025. Además, se le relaciona con la vulneración de los servidores del Instituto Nacional Electoral (INE) en octubre de ese mismo año, lo que encendió alertas sobre posibles vulneraciones en infraestructura electoral.
Un año antes, Sc0rp10n atacó a la Fiscalía General de Nuevo León, de donde extrajeron 960 carpetas de investigación y más de 13 mil archivos con información considerada crítica para investigaciones aún en curso. Aunque la vulneración se identificó en marzo de 2024, la confirmación pública ocurrió hasta diciembre.
Analistas coinciden en que este colectivo no opera bajo motivaciones políticas, a diferencia de otros grupos conocidos por filtraciones con fines ideológicos. Su lógica responde a dinámicas de mercado con acceso a sistemas mediante vulnerabilidades o puertas traseras, extracción masiva de información, venta o liberación de bases y uso de estas acciones para posicionarse dentro del ecosistema criminal.
La difusión abierta de la base del SAT también detalló una dinámica particular, en la que los criminales optan por liberar información sin costo como mecanismo de reputación en foros especializados.
En cuanto a la filtración del SAT, las autoridades no han confirmado la autenticidad del material ni el alcance real del ataque. Sin embargo, expertos en ciberseguridad señalaron que la magnitud del archivo y la naturaleza de los datos coincidieron con estructuras utilizadas por dependencias fiscales.
Ramos Ochoa llamó a reforzar la seguridad en instituciones públicas. “México necesita auditorías constantes, protocolos de respuesta más rápidos y una cultura real de protección de datos”, concluyó.
