La filtración de información atribuida al grupo de ransomware LockBit, que involucra a la Sociedad Hipotecaria Federal (SHF), habría sido el resultado de una extracción de datos gradual y sostenida durante varios meses, según especialistas en ciberseguridad consultados por Mobile Time Latinoamérica.
El incidente, que derivó en la publicación abierta de aproximadamente 277 GB de información bancaria, expuso vulnerabilidades técnicas y fallas estructurales en los controles de seguridad y el destino final de los datos financieros robados.

Sergio Mora, CTO de Ecosistemas Global
Según Sergio Mora, CTO de Ecosistemas Global, empresa de soluciones tecnológicas y experto en ciberseguridad, este es un «activo con alto valor en el mercado negro».
De acuerdo con Víctor Ruiz, fundador de Silikn, startup especializada en ciberseguridad, aunque las autoridades señalaron que la información difundida podría ser histórica o no sensible, el análisis técnico sugiere que los archivos abarcan periodos recientes.
Ante este escenario, ambos especialistas coincidieron con que la intrusión se habría mantenido activa sin ser detectada durante un lapso prolongado.
Acceso prolongado y extracción sostenida
Para Ruiz, el volumen y la naturaleza de los archivos filtrados indican que los atacantes obtuvieron acceso a los sistemas desde inicios de 2025. Desde entonces, establecieron un centro de comando y control del cual extrajeron información de manera gradual.
“El conjunto de documentos abarca un periodo que va de 2014 a 2026, aunque la mayoría corresponde a los años 2024, 2025 y 2026”, explicó. Según sus estimaciones, LockBit concluyó la descarga de los datos a inicios de 2026, y solo entonces desplegó el ransomware con fines de extorsión.
Esta secuencia, según ambos expertos, refuerza la hipótesis de que el ataque no fue detectado de manera oportuna debido a deficiencias en los controles de ciberseguridad, lo que permitió que la exfiltración se prolongara durante meses sin alertas efectivas.
El factor humano y la falsa sensación de seguridad
Más allá de la infraestructura tecnológica, los especialistas advirtieron que el eslabón más débil sigue siendo el usuario. Desde la perspectiva de Mora, la intrusión pudo haberse originado mediante ingeniería social o descuidos operativos, especialmente en un contexto de trabajo remoto.
“Podemos tener la chapa más cara del mundo, pero si uno de nuestros usuarios abre la puerta y se sale y no la cierra, de nada sirvió”, señaló. Además, subrayó que, tras la pandemia, muchas instituciones públicas trasladaron equipos de trabajo a los hogares de los empleados sin garantizar que todos los dispositivos contaran con procesos de hardening o configuraciones de seguridad reforzadas.
Desde ese ángulo, el riesgo no desaparece cuando se apagan los servidores institucionales o con un kill switch, sino que se traslada a los domicilios. Allí, una laptop personal o mal configurada puede convertirse en el punto de entrada para ataques persistentes.
Riesgos de fraude y suplantación de identidad
La exposición de bases de datos de carteras de crédito con la de la SHF incrementa de forma significativa el riesgo de fraude bancario. Ruiz explicó que este tipo de información suele contener —o puede cruzarse fácilmente— datos como nombre completo, RFC, CURP, domicilio, teléfonos, correos electrónicos, número de crédito, saldo e historial de pagos.
Con estos elementos, un atacante puede responder correctamente a los mecanismos de autenticación basados en conocimiento, aún utilizados por muchas instituciones financieras, lo que facilita la suplantación de identidad.
Entre los movimientos que se podrían hacer destacan: solicitar reestructuras, modificar datos de contacto, iniciar nuevos trámites de crédito o ejecutar campañas de ingeniería social altamente creíbles.
En este escenario, la suplantación de identidad deja de ser un riesgo teórico y se convierte en una amenaza operativamente viable, incluso para grupos criminales con capacidades técnicas medias.
Esta veracidad de los datos no solo es clave para la extorsión inmediata, sino que se convierte en combustible para nuevas tecnologías. El impacto de este tipo de filtraciones se amplifica en un contexto donde la inteligencia artificial ya es utilizada de forma activa por grupos criminales.
De acuerdo con los especialistas consultados, bases de datos extensas y estructuradas —como las atribuidas a la SHF— son especialmente valiosas porque pueden ser procesadas y explotadas mediante modelos de IA.
Víctor Ruiz explicó que, al contar con información operativa, contratos, historiales de crédito y datos personales recientes, los atacantes pueden automatizar campañas de fraude, ingeniería social y suplantación de identidad a gran escala, utilizando IA para generar comunicaciones personalizadas, correos creíbles, guiones para call centers falsos e incluso documentos aparentemente legítimos.
Además, el uso de inteligencia artificial permite cruzar y enriquecer los datos filtrados con otras bases disponibles en el mercado negro, acelerando la validación de identidades y reduciendo los costos operativos del fraude, añadió el experto.
En este escenario, la IA no solo agiliza el delito, sino que eleva su tasa de éxito, al simular comportamientos y respuestas humanas de forma cada vez más precisa.
Desde esta perspectiva, la filtración no solo expone información sensible, sino que habilita un ecosistema de abuso automatizado, donde el daño potencial crece de manera exponencial conforme los datos circulan y son reutilizados por distintos actores.

Víctor Ruiz, fundador de SILIKN
La reputación criminal como garantía de veracidad
Otro elemento clave es la credibilidad del grupo atacante. Según Ruiz, organizaciones como LockBit operan bajo una lógica de “reputación criminal”, indispensable para mantener su capacidad de extorsión.
“Estos grupos no pueden darse el lujo de mentir. Si publicaran información falsa o reciclada, perderían poder de extorsión con la siguiente víctima”, explicó. Desde esta óptica, la publicación de datos responde a la necesidad de demostrar que la información es real y reciente, ya que su “modelo de negocio” depende de ello.
Este razonamiento contrasta con los intentos oficiales por minimizar el alcance del incidente y sugiere que, si los datos fueron publicados, es porque representan un valor real para los atacantes.
«Ellos no mandan un ransomware a cualquier lado. […] Ellos trabajan de esa forma: no a cualquiera se lo mandan. Saben al que no ha trabajado con esas buenas prácticas, al que no tiene un buen área de restauración y de backups… y saben (a quienes) la exposición de estos datos les duele”, puntualizó Mora.
Chile y Brasil: experiencias regionales ante intrusiones prolongadas
En opinión de Mora, México puede y debería tomar la experiencia de otros países como Brasil o Chile para implementar estrategias de detección temprana y así evitar extracciones prolongadas de información.
En Chile, se enfocaron en clasificar infraestructuras críticas y establecieron como una obligación el notificar incidentes de ciberseguridad, con el objetivo de reducir ventanas de exposición que permitan a un atacante permanecer meses dentro de un sistema sin ser detectado, explicó.
En Brasil, el enfoque se ha centrado en tratar la ciberseguridad financiera como un riesgo sistémico, con coordinación entre autoridades, sector bancario y áreas técnicas, priorizando el monitoreo continuo y la identificación de movimientos anómalos antes de que deriven en exfiltraciones masivas, añadió Mora.
Desde esta perspectiva, los expertos coinciden en que cuando no existen mecanismos de detección temprana, control de accesos remotos y responsabilidad clara sobre los usuarios, se generan condiciones para que ataques como el atribuido a LockBit evolucionen durante meses, como habría ocurrido en el caso de la SHF.
La imagen principal fue creada por Mobile Time con IA.


