POR: EL HUSMEADOR

Datos de 20 Millones de Jubilados a Venta en la Dark Web por Solo 50 Mil Pesos, Mientras el IMSS  Juega al Gato y al Ratón.

Porque si el IMSS no protege a sus más vulnerables, ¿quién lo hará? La dark web no espera, y el próximo golpe podría ser el tuyo

Ciudad de México, 24 de septiembre de 2025 – Imagínense despertar un día y descubrir que su vida entera –nombre, dirección, CURP, número de Seguridad Social, padecimientos médicos y hasta el monto de su pensión– está colgada en un bazar clandestino de la dark web, a la espera de que un estafador la compre por el precio de un coche usado. Eso no es una pesadilla de película de hackers; es la cruda realidad que enfrentan 20 millones de pensionados del Instituto Mexicano del Seguro Social (IMSS), según expertos en ciberseguridad que han rastreado la filtración más escandalosa del año. Y mientras los jubilados, muchos de ellos adultos mayores vulnerables, tiemblan ante el fantasma de fraudes y extorsiones, el IMSS responde con un comunicado que huele a encubrimiento: «No fue hackeo, fue una ‘posible filtración’ interna». ¿En serio? ¿Y eso consuela a quien ve su identidad robada por un sueldo de traidor? El escándalo estalló a mediados de septiembre, cuando el periodista Ignacio Gómez Villaseñor alertó en redes sobre la venta de una base de datos etiquetada como «pensionados IMSS 2025», un archivo de 1.4 gigabytes que, por su tamaño, podría abarcar unos 20 millones de registros sensibles. El hacker autodenominado Sc0rp10nn –el mismo que hace días asaltó la base del Infonavit con 86 millones de datos– la ofrece en foros de la dark web por apenas 50 mil pesos, un chiste para el daño que causa. Expertos como Manuel Rivera, director de Nekt Group, confirmaron la veracidad de la información tras un «ciberpatrullaje»: solicitaron muestras y ahí estaban, datos reales que coinciden con registros del IMSS, listos para ser usados en estafas disfrazadas de ofertas médicas o farmacéuticas. «Con esta info, los delincuentes pueden suplantar identidades o extorsionar a los afectados», advierte Rivera, recordándonos que 2025 ya suma tres hackeos al IMSS, incluyendo uno que se llevó 56 millones de derechohabientes en junio. Pero el IMSS, en un posicionamiento que parece escrito por un bufete de manejo de crisis, lo niega todo: «No se tiene registro de un ‘hackeo’, ‘ciberataque’ o vulneración a los sistemas». En su lugar, culpan a un «uso indebido de accesos por parte de personal», es decir, un insider que vendió la llave del castillo por cuatro monedas. ¿Filtración interna o hackeo disfrazado? Víctor Ruiz, fundador de Silikn, lo tiene claro: es negligencia pura, con vulnerabilidades que el instituto ignora pese a sus «mecanismos robustos de seguridad». Y en X, la indignación hierve: Ignacio Gómez Villaseñor tuitea que es «la filtración más peligrosa en la historia reciente», con miles de likes y reposts exigiendo cabezas. Usuarios como @avieu ironizan: «Otra muestra de cómo el Estado falla en proteger lo más sensible», mientras @bereaguilarv clava el puñal: «La corrupción y negligencia gubernamental salen caras». No hay resultados de ventas confirmadas aún, pero el mero anuncio en la dark web ya es un imán para ciberdelincuentes, y el silencio oficial solo agrava el pánico. Esta no es la primera vez que el IMSS baila con el diablo digital. Recordemos el robo de junio, o el de enero con estafas vía Google Ads que afectaron a usuarios del SAT e IMSS. ¿Qué se sabe de la venta? Todo apunta a Sc0rp10nn, un actor persistente que publica pruebas de intrusiones para credibilizarse –logs de sistemas, muestras de datos– y que opera en la sombra de la dark web, ese submundo donde la anonimidad es ley. Los compradores potenciales: desde agiotistas que cazarán deudas falsas hasta extorsionadores que llamarán a abuelitos con «ofertas de salud» para vaciar sus pensiones. El INAI debería estar al frente, notificando a afectados y multando al IMSS por no alertar a tiempo, pero la legislación mexicana en protección de datos es una coladera, como bien señala Rivera: «Debieron informar inmediatamente y mitigar daños». En un país donde la corrupción come presupuestos y la ciberseguridad es un lujo, este «incidente» –eufemismo del IMSS– es un jaque mate a la confianza ciudadana. ¿Cuántos pensionados más caerán en trampas antes de que Zoé Robledo o quien mande rinda cuentas? El instituto presume de «mejores prácticas», pero mientras sus datos se rematan como en tianguis, los jubilados pagan el pato. Exijamos auditorías independientes, sanciones drásticas y, sobre todo, transparencia: no más «posibles» filtraciones que dejan vidas expuestas. Porque si el IMSS no protege a sus más vulnerables, ¿quién lo hará? La dark web no espera, y el próximo golpe podría ser el tuyo