En las primeras horas de este jueves, el grupo de hackers identificado como Tekir APT comenzó a filtrar archivos con datos internos de la Fiscalía General de Justicia de Guanajuato, como registros de delincuentes detenidos, autos robados e incluso tomas de cámaras de seguridad, además de datos del personal de la propia institución.

Los documentos y otro contenido confidencial de las bases de datos de la FGE fueron filtrados como resultado de un presunto secuestro de información por dicho grupo de piratas cibernéticos, que desde el 8 de noviembre comprometieron las plataformas de la institución, mismas que permanecen prácticamente inutilizadas desde ese día.

El secuestro de información fue inicialmente difundido por la consultora internacional especializada Hackmanac, que el 11 de noviembre publicó en sus redes sociales y en su página que el grupo de hackers Tekir APT afirmó haber vulnerado la Fiscalía General de Justicia de Guanajuato:

“Los atacantes afirman haber comprometido y cifrado todos los subdominios, incluidos los de la oficina del fiscal general”, así como haber borrado las copias de seguridad y haber extraído más de 250 GB de datos que contenían identificaciones personales, expedientes judiciales y comunicaciones internas”, detalló Hackmanac.

La sospecha ya se había ventilado a nivel local por abogados que desde el sábado 8 habían acudido a la Fiscalía a efectuar trámites como presentación de denuncias, y que se encontraron con que el sistema no estaba funcionando, por lo que el personal estaba operando de manera manual.

El grupo Tekir APT había dado un plazo hasta este jueves 20 para que la Fiscalía cumpliera con un pago por el secuestro de información (ransomware). Y todo indica que Tekir hizo realidad la amenaza.

Hasta el momento, la Fiscalía ha negado que sea víctima de un delito cibernético; en un primer comunicado que difundió el lunes 10, adjudicó problemas en el sistema de la Fiscalía a “una revisión preventiva de sus controles de seguridad”.

De esta versión se pasó a la de un supuesto virus que habría “contaminado 60 equipos”, explicación que el propio fiscal dio al gobierno estatal, según declaraciones efectuadas a medios de comunicación el lunes 17 por el secretario de gobierno, Jorge Jiménez Lona.

El 13 de noviembre, al ser abordado por periodistas, el fiscal Gerardo Vázquez volvió a negar el robo, aunque luego minimizó el tamaño de la posible sustracción de datos.

Un reportero le preguntó sobre el hackeo: “No pasó nada, no hubo afectaciones”, respondió Vázquez Alatriste.

“Categórico lo afirmo: no hay ningún ataque, no hay ningún daño”, remarcó.

Cuando el reportero le dijo que el grupo de hackers señaló haber sustraído 250 GB (gigabytes) de datos, el fiscal acotó: 

“Investiguen cuántos son 250 gigabytes. Es nada, es nada”.

Entrevistado este jueves tras conocerse la comunicación sobre el hackeo, el secretario de gobierno, Jorge Jiménez Lona, dijo que el Fiscal Gerardo Vázquez Alatriste debe informar lo que está sucediendo y aclarar si la información que se ha filtrado fue sustraída de esta instancia. 

“Yo le mandé al fiscal en la mañana (la publicación sobre la filtración); también la gobernadora ha estado al pendiente, se está revisando, tendría que ser la fiscalía la que dé la información si realmente es información de ellos o si están subiendo otro tipo de cosas”, señaló el funcionario estatal. 

Jiménez Lona incluso afirmó que el Fiscal Vázquez Alatriste “sí le está informando” a las otras autoridades, pero luego insistió en que “es importante que se tenga la certeza de si es información de la fiscalía o de qué información se trata” y de esto debe encargarse el Fiscal. 

POPLAB conoció que debido a la filtración de datos efectuada hoy por Tekir, se conformó un grupo de trabajo con personal del Poder Ejecutivo para afrontar la crisis derivada del secuestro de información. 

Este mismo jueves, desde la tribuna del Congreso del Estado, la diputada de Morena Hades Aguilar presentó un punto de acuerdo en la sesión del día para pedir que se realice una auditoría a la Fiscalía de Justicia, al evidenciar que aunque la instancia cuenta con un presupuesto para la adquisición de licencias informáticas para la operatividad, seguridad y gestión de la información de áreas como la Agencia de Investigación Criminal (AIC) por 157 millones de pesos, al 30 de septiembre se había ejercido el 95 por ciento del presupuesto pero no se compró una sola licencia. 

La FGE también contó este año con 7 millones de pesos para dotar de equipo e infraestructura tecnológica a la Fiscalía, y según la cuenta pública, al 30 de septiembre ese dinero se había ejercido en su totalidad y debió servir para “reforzar los equipos donde se resguarda la información”. 

Información filtrada 

Pero desde la mañana del jueves 20, el periodista especializado en ciberseguridad Ignacio Gómez, Sonora Cibersegura y Botcrawl, entre otros expertos y empresas, dieron a conocer mensajes de Tekir APT difundidos en foros de ciberdelincuencia, donde comenzaron a filtrar los datos que habrían robado a la Fiscalía estatal de Guanajuato.

El mensaje, que confirma la intromisión efectuada por el grupo de hackers el 8 de noviembre, dice:

“Los datos que obtuvimos incluyen información sobre todos los expedientes penales en poder de la Fiscalía General, información detallada sobre la estructura interna, datos personales de funcionarios, grabaciones de cámaras municipales, todas las bases de datos SQL, datos de comunicaciones internas y muchos más datos almacenados en muchos servidores de bases de datos. Los datos eran demasiado extensos para estimar su tamaño total”.

Y también se refirieron a la reacción de la propia Fiscalía y de las autoridades estatales:

“A pesar de las pruebas que compartimos, las autoridades negaron todo, actuando como si nada hubiera pasado. Afirmaron que los datos que extrajimos no tenían valor y se negaron a contactarnos. A menos que el equipo forense sea estúpido (les dejamos una nota), deberían haber podido rastrear los datos que extrajimos. Podrían haber compartido el informe de Respuesta a Incidentes públicamente. Considerando la corrupción existente en México, está claro que nuestros ataques y datos han sido silenciados de alguna manera”, dice el mensaje, que fue publicado en inglés.

Por último, señalan: “Compartimos toda la evidencia para demostrar que hemos comprometido toda la estructura (…) hemos exfiltrado más de 250 GB de datos y, afortunadamente, hemos encontrado a otra persona que se encarga de la mayor parte. Como prometimos, compartimos la parte no vendida de los datos para verificar la violación. Los datos de 70 GB+ que compartimos contienen antecedentes penales de los últimos años que confirman la violación. También compartimos evidencia de captura de pantalla del acceso a la parte restante de los datos. ¡Buena suerte México!”, escribieron al final de su comunicado.

Los expertos y empresas que difundieron esta filtración coinciden en que la información sí procede de la Fiscalía de Guanajuato y que se trata de un robo muy grave por la vulneración de sus sistemas y por los datos sensibles que se han extraído del servidor de la institución.

Ignacio Gómez subrayó la gravedad de la sustracción porque los datos pueden ser utilizados para cometer diversos delitos en caso de que sea vendida, como fraudes y extorsiones, lo que pone en riesgo no solamente a la institución, sino más “al ciudadano común”.

Botcrawl, sitio web especializado en ciberseguridad, publicó un análisis (firmado por Sean Doyle) en el que afirmó: “La filtración de datos de la Fiscalía General del Estado de Guanajuato se ha convertido en uno de los incidentes de ciberseguridad más graves que han afectado a una institución judicial estatal mexicana en los últimos años”.

Y agrega: “Como prueba de la intrusión, los atacantes han publicado más de 70 GB de datos criminales y han anunciado la posesión de más de 250 GB de archivos adicionales. El grupo también ha compartido capturas de pantalla de listados de servidores, estructuras de archivos internas, tablas de bases de datos SQL (base de datos central del servidor), imágenes forenses y grabaciones de cámaras de vigilancia para validar la magnitud de la filtración”.

Por ello, afirmó que la información filtrada es una amplia evidencia que demuestra “una vulneración total del sistema” de la FGE.

“La naturaleza de la información contenida en la filtración de datos de la Fiscalía General del Estado de Guanajuato representa un grave riesgo para la seguridad pública, la integridad del sistema de justicia, las operaciones de investigación y la privacidad de las personas. Los atacantes afirman haber accedido a antecedentes penales de varios años de antigüedad, incluyendo investigaciones de homicidios, información sobre el crimen organizado, expedientes de robo de vehículos, registros forenses, grabaciones de vigilancia y datos municipales sensibles. Si el material filtrado es veraz, la filtración podría poner en peligro las investigaciones en curso y exponer información que los grupos criminales podrían intentar explotar”, dice el artículo de Botcrawl.

Dudas que prevalecen

Ignacio Gómez también remarcó que el secuestro de información y la filtración no cumplen con lo que normalmente suele realizarse en este tipo de ciberdelitos, pues inicialmente dieron a conocer el secuestro a través de una sola empresa (Hackmanac) pero después cambiaron a otro foro de ciberdelincuencia.

El periodista no descarta que también puede tratarse de una persona dentro de la institución o que formó parte de la misma y que conoce perfectamente los sistemas de la Fiscalía.

 “Creo que hay algo más detrás, obviamente son personas que conocen los sistemas, conocen lo que están haciendo, hablan de contraseñas muy sencillas, que no dudaría que pase”, dijo.

“Hablando en específico de la información es sumamente sensible, gravísimo los datos que están ahí, no los he visto todos, publicaron como una evidencia, capturas de pantalla, cámaras de seguridad, están actualizadas hasta octubre de 2025, es bastante reciente la información que tienen, evidencia de cómo se habrían vulnerado los sistemas internos con las claves”, detalló Gómez. 

Y remarcó que por la cantidad de información filtrada es imposible que se trate de registros duplicados, sino que “los datos son reales”.

Es por ello que el riesgo es que ante filtraciones como ésta, “cuando los ciberdelincuentes venden estas bases, porque lo hacen, se diversifican los delitos”, entre éstos los fraudes y extorsiones. Ambos delitos son los únicos que no han disminuido, sino lo contrario, según los datos oficiales y encuestas como la Encuesta Nacional de Victimización y Percepción sobre Seguridad Pública, ENVIPE; “si esto sigue al alza es por filtraciones como ésta”.