La Sociedad Hipotecaria Federal (SHF), banco de desarrollo clave para el financiamiento de vivienda en México, enfrenta uno de los incidentes de ciberseguridad más graves registrados en el sector público luego de que el grupo de ransomware LockBit cumpliera con su amenaza y liberara públicamente información sensible presuntamente sustraída de sus sistemas. Esta filtración se da días después de un presunto ataque que afectó a 25 instituciones públicas de México.
De acuerdo con documentación y análisis difundidos por el periodista Ignacio Villaseñor, el grupo criminal liberó alrededor de 277 GB de información comprimida —que podría superar 1 TB una vez descomprimida— correspondiente a respaldos completos de bases de datos institucionales de la SHF.
El ataque que fue realizado el pasado 21 de enero, en el que el grupo fijó un plazo a la SHF para el rescate de la información a través del pago en criptomonedas, plazo vencía precisamente este jueves 5 de febrero.
A diferencia de la filtración masiva atribuida al grupo Chronus, que se centró en datos de identidad y registros médicos de 25 instituciones, el incidente de la SHF ejecutado por LockBit representa un nivel de riesgo patrimonial distinto. Mientras Chronus opera mediante la venta selectiva de información, LockBit si divulgó públicamente los datos.
Captura de pantalla de los presuntos archivos expuestos por LockBit en la Dark web compartida por Víctor Ruíz.
Publicación de la información
Entre los archivos expuestos se identifican bases de datos SQL con extensión .bak, lo que sugiere la extracción íntegra de sistemas centrales de operación.
Esta información fue confirmada y verificada por Víctor Ruiz, fundador de SILIKN, startup especializada en ciberseguridad. A través de su cuenta de X, señaló que la filtración en la dark web corresponde a información confidencial de la SHF derivada de un ataque cibernético ocurrido alrededor del 21 de enero de 2026.
Este habría comprometido la infraestructura tecnológica de la institución, cifrado sistemas críticos y provocado interrupciones operativas significativas.
De acuerdo con Ruiz, la publicación de estos archivos en carpetas organizadas por banco permite observar relaciones comerciales y operativas críticas entre la SHF y diversas instituciones financieras, exponiendo el núcleo transaccional del sistema hipotecario nacional así como bases de datos completas, información bancaria y datos personales asociados a créditos hipotecarios.
Entre los archivos más sensibles, según Villaseñor, se encontraría CONTROLCARTERAS.bak, con un tamaño superior a 93 GB, que apuntaría a contener la totalidad de la cartera de crédito administrada por la SHF, incluyendo historiales, montos adeudados y datos de localización.
¿Qué hace la SHF en México?
La SHF opera como banco de desarrollo de segundo piso, otorgando garantías, avales y financiamientos estructurados a la banca comercial. En este contexto, la filtración no se limitaría a créditos directos con el gobierno.
Los archivos liberados estarían organizados en carpetas por institución financiera, lo que permite observar la interconexión operativa entre la SHF y bancos como BBVA, Santander, Banorte, HSBC y Scotiabank, ampliando el alcance del incidente al sistema hipotecario en su conjunto, detalló Villaseñor.
Desde una perspectiva técnica, especialistas advierten que la posesión de estas bases de datos permitiría ejecutar ataques de spear phishing altamente dirigidos, así como fraudes de identidad y esquemas de suplantación con alto grado de credibilidad, al combinar identificadores como nombre completo, RFC, CURP, dirección exacta y deuda real.
El alcance de la filtración trasciende el ámbito financiero
Entre los archivos filtrados se habrían identificado documentos transferidos desde la Presidencia de la República, derivados de peticiones ciudadanas canalizadas a través de instancias federales.
Estos documentos incluirían datos personales de ciudadanos que solicitaron apoyo al gobierno, lo que eleva el caso al plano de seguridad nacional y protección de datos personales.
Presunta documentación filtrada por LockBit en México compartida por Villaseñor
SHF ordenó kill switch
En términos operativos, tras el ataque la SHF habría activado un kill switch y desconectado sus sistemas.
De acuerdo con testimonios difundidos por Villaseñor, funcionarios de la institución llevan varias semanas operando sin acceso pleno a plataformas institucionales, trabajando en modalidad de home office y recibiendo información vía correos electrónicos ante la caída de sistemas y portales oficiales.
Ruiz añadió en su publicación que, aunque no existe confirmación oficial sobre el pago de un rescate ni sobre la recuperación total de los sistemas, evaluaciones técnicas de la unidad de investigación de SILIKN indican que la SHF estaría operando con acceso limitado a respaldos parciales, sin haber restablecido aún la integridad completa de sus plataformas tecnológicas.
La gravedad del incidente ya había sido anticipada. Desde el pasado 24 de enero, Villaseñor advirtió sobre el compromiso de los sistemas de la SHF; sin embargo, a pesar de la alerta temprana, la liberación masiva de información se concretó este 5 de febrero tras cumplirse el plazo de extorsión fijado por los atacantes.
¿Qué dijo el gobierno?
Hasta el momento, la SHF no ha emitido un comunicado público sobre el incidente. Para especialistas en ciberseguridad, este incidente pone a prueba los protocolos de respuesta a incidentes del gobierno federal, en un contexto marcado por ataques previos a dependencias públicas en años recientes.
Por su parte, en la última tarjeta informativa de la Agencia de Transformación Digital y Telecomunicaciones (ATDT), compartida a través de su cuenta de X, tras el presunto hackeo de Chronus desestimó vulnerabilidades en la infraestructura central, sugiriendo que se trataba de información que ya había circulado previamente. Dicho documento no mencionó de forma específica a la SHF, ni detalló qué instituciones habrían presentado afectaciones.
La magnitud de la filtración ha generado alertas tanto a nivel nacional como internacional, ante lo que podría convertirse en una de las exposiciones de datos financieros gubernamentales más relevantes de 2026.
La imagen principal fue creada por Mobile Time con IA.
