La Fiscalía General de Guanajuato cumple casi una semana con su sistema informático paralizado y una crisis para atender a las víctimas de delitos que acuden a denunciarlos, mientras que públicamente se dio a conocer que un grupo de hackers se adjudicó un ataque con fines de extorsión y sin que oficialmente se informe la causa.

De acuerdo con la empresa de consultoría en ciberseguridad internacional Hackmanac, el ataque lo habría realizado un grupo de hackers denominado Tekir ATP, mismo que borró 250 gigabytes de datos de la FGE y borró copias de seguridad, además de amenazar con hacer pública la información si no se paga una extorsión.

Pero expertos en ciberseguridad tienen serias dudas sobre el origen del hackeo y señalan otro escenario: un posible ataque interno para desaparecer información que se desea eliminar, u operado por alguien que estuvo en la institución, la conoce a fondo y desea provocar un daño.  

Y es, además de que hay varios elementos que hacen dudar sobre la forma y el grupo que presuntamente se adjudicó el hackeo con fines de extorsión, no sería la primera vez que una fiscalía del país sufra un ataque interno.

Apenas en diciembre del año pasado, se reveló que el entonces director de inteligencia de la Fiscalía de Nuevo León, Paul Cortez Suárez, utilizó a unos hackers a quienes les proporcionó incluso el equipo para cometer un ataque, aunque éste fue evidenciado por el mismo grupo después de que se adjudicó “haber descubierto” el secuestro de datos.

Cortez no es desconocido en Guanajuato: en abril de 2023 Poplab dio a conocer que este funcionario, desde la Fiscalía de Nuevo León, orquestó una persecución ministerial para la que contó la pronta colaboración del entonces fiscal de Guanajuato, Carlos Zamarripa Aguirre. Cortez presentó una denuncia penal contra el periodista Arnoldo Cuéllar Ornelas acusándolo de “haber contratado a alguien para espiarlo” y de que se enteró de esto por un correo anónimo.

Rápidamente la Fiscalía de Zamarripa citó a periodista a comparecer para declarar por esta imputación, que finalmente no tuvo más remedio que desestimar “por incompetencia”.

Por lo pronto, la versión oficial de la Fiscalía de Guanajuato sobre el robo de datos provoca más dudas que certezas. Un comunicado interno reportó un virus informático y recomendó al personal desconectar sus equipos antes de encenderlos, mientras el comunicado público señaló que la institución se encuentra realizando “una revisión preventiva de sus controles de seguridad, con el objetivo de garantizar el óptimo funcionamiento de todos sus sistemas informáticos”.

Presuntamente, el grupo Tekir ATP habría cifrado y comprometido el dominio de la institución, así como otros subdominios que contienen información de las carpetas de investigación y del personal, y cuyos alcances e impactos tampoco se conocen por el hermetismo alrededor de lo sucedido.

 “No tenemos hackeo”, fue la respuesta de área de comunicación social a la solicitud de información que hizo Poplab el martes 11.

La información que puede estar en riesgo es toda la que tiene la Fiscalía, desde contenido de carpetas de investigación, comunicaciones internas, registros de personal, e incluso registros de armamento y equipo para la operación y labores de investigación de la institución.

Jorge Solalinde, presidente de la Cámara de la Industria Electrónica de Telecomunicaciones y Tecnologías de la Información (CANIETI GTO) resaltó que la Fiscalía cuenta con información estratégica de las acciones que le corresponde por ley realizar, y en caso de que ésta quede vulnerable “estamos en una situación delicada en materia de seguridad”.

Señaló que la ciber seguridad no es solamente un tema técnico sino estratégico; “todos debemos ser conscientes de eso y hacer planeación para evitar este tipo de situaciones, mucha capacitación a su personal técnico, los procesos que tengan de resguardo de información, de manejo y uso” de contraseñas y accesos.

-¿Qué es lo que tendría que hacer la Fiscalía para esclarecer esto?-

“La fiscalía tiene un área especializada en seguridad cibernética, ellos son los que manejan estos protocolos, le ayudan a la ciudadanía cuando son víctimas de estos delitos, extorsiones o secuestro de información, y ellos son los que manejan este tipo de protocolos; están más especializados, trabajan de acuerdo con el marco legal”.

       Chateando con el enemigo

El periodista experto en ciberseguridad Ignacio Gómez Villaseñor, quien ha informado a través de sus redes sociales sobre lo ocurrido en la Fiscalía, habló con Poplab sobre lo que ocurre en la Fiscalía de Guanajuato.

Dijo haberse enterado porque Hackmanac lo etiquetó en sus redes y él comenzó a revisar toda la información del caso.

“Ellos dan seguimiento a ciberataques en todo el mundo, son muy experimentados y saben cómo ocurren este tipo de ataque. Lo raro de este caso es que este grupo que se está presentando solamente tuvo contacto con esta cuenta de H4ckamanac, no hay otro contacto o sitio donde hablen de este grupo; consulté con ciber especialistas de seguridad y algunos ciberdelincuentes con quienes tengo contacto y nadie conoce a este grupo”.

Aunque agrega que H4ckmanac no se aventaría a publicar algo así si no tiene respaldo, y podría tratarse de un grupo nuevo de ransomware (secuestro de datos)” que apenas esté entrando a la ciberdelincuencia.

Según lo publicado por Hackmanac, Tekir ATP le compartió su foro, donde se adjudican el robo de datos, no solamente de la fiscalía, sino que también habrían vulnerado otros dominios del gobierno del estado.

Así, desde el viernes hubo problemas con los sistemas de la fiscalía, y la noticia de la “caída del sistema” se propagó rápidamente porque los usuarios fueron enterados de que no servía la plataforma; es decir, las víctimas de delitos que denuncian o tienen carpetas de investigación, así como asesores jurídicos, defensores, etcétera. Desde desde ese día, los usuarios son atendidos de manera manual, lo que ha ocasionado una tardanza en la atención.

Un comunicado interno que fue filtrado menciona una infección por un virus; “esto no ocurre así, eso habla de que no tienen capacidad técnica ni para informar de un incidente de estas características”, dijo Ignacio Gómez.

Contó que, a raíz de esto, personal de la FGE se puso en contacto con él y le confirmó que varios agentes fueron enviados a sus casas a trabajar.

“Todo se está cumpliendo, se paran todas las operaciones porque probablemente hayan cifrado los datos de la fiscalía, y si pide que se vayan de la oficina; probablemente no tengan un respaldo de esa información, y han sido muy opacos” sobre la situación.

En el intercambio que sobre este ataque en particular ha tenido con otros expertos y CEOS de empresas de ciberseguridad, el periodista revela que, si bien no se descarta que puede el grupo de hackers puede ser nuevo, no hay que descartar “que podría ser algo interno”, pues hay algunas señales para considerar esta hipótesis.

“No es común la manera en que se dio a conocer, que este grupo nuevo su primera víctima sea una fiscalía de un estado, no es común” tampoco, mencionó.

Esto puede pasar, explicó, cuando un insider (persona con acceso a información confidencial privilegiada, que puede ser un empleado, exempleado o proveedor) o alguien de la misma fiscalía que tenga acceso a documentos “le toma fotos, hacen una especie de auto ataque, le mandan toda la evidencia a H4ckmanac, y simulan un ataque”.

Gómez resaltó que, debido a la poca información que ha dado a conocer la propia Fiscalía, y al hecho de que este tipo de ataques tardan varios días en solucionarse y en determinarse el alcance del daño, no hay por ahora manera de tener certeza sobre lo ocurrido.

Pero algo sí tiene claro:

“Los ataques internos son mucho más comunes de lo que se piensa, uno de los mayores riesgos en la actualidad; la gente sale enojada de una empresa o lo corren o por cualquier cosa tiene acceso a información y la venden o la regalan. Y si ocurrió de esta manera, lo tuvo que hacer alguien que conoce, no cualquier persona hará una liga en la darkware para poner documentos de prueba que no han sido publicados y este acto de extorsión”.

Recordó que son varias las fiscalías de estados de país que han registrado este tipo de ataques, y que no necesariamente obedecen a grupos de hackers, sino a otros intereses o surgen de insiders.

Vacío legal ante ciber delincuencia

Uno de los ejemplos más escandalosos es el de la Fiscalía de Nuevo León, en la que un hacker instaló una computadora para robar todas las carpetas por meses, y la persona que les compró el equipo y les permitió el acceso fue el Director de inteligencia de la Fiscalía; hubo órdenes de aprehensión, se filtraron miles de carpetas de investigación y esto nunca terminó de resolverse”.

Este funcionario, de acuerdo con la información que se hizo pública en diciembre de 2024, fue Paul Cortez Suárez. El hackeo ocurrió entre fines de 2024 y principios de 2025, duró 10 meses y el robo implicó más de 13 mil archivos, incluyendo registros de armamento.

La Fiscalía confirmó el hackeo; se conoció que la información filtrada incluía detalles sobre narcotráfico, evidencia forense, inventarios de armamento, datos personales de denunciantes, comunicados internos de la institución, entre otra información.

Otros empleados de la Fiscalía fueron señalados también como involucrados.

Todo se supo cuando el hacker involucrado, conocido como Scorpion, reveló que fue contactado por el funcionario Paul Cortez y que éste fue el origen de la filtración, tal como lo publicó el propio periodista Ignacio Gómez Villaseñor en diciembre de 2024.

La Fiscalía confirmó el hackeo en un comunicado del 17 de diciembre de 2024, pero reconoció que lo detectó por lo menos desde marzo de ese año, y dijo que contaba con evidencias como videos que apuntaban a los responsables.

Según Scorpion, Cortez armó un expediente y detuvo a personas del área de tecnología presuntamente inocentes “para poder dar crédito a su investigación”.

Este mismo hacker, por cierto, intervino el C5 del estado de Hidalgo.

“Las fiscalías sí son bastante vulneradas, hace poco la fiscalía de San Luis Potosí dejó abiertas las cartas de antecedentes penales; la de Oaxaca también fue vulnerada, no tienen mucha seguridad, la de Michoacán, Edomex, Chihuahua hace poquito”, señaló Ignacio Gómez.

Destacó que en el caso de Guanajuato, debido a la situación de criminalidad que se vive desde hace algunos años, “hay información muy vulnerable, cualquier filtración de información puede acabar en algo gravísimo”.

Y, ante la amenaza del grupo de hackers identificado como Tekir ATP de que, en caso de no cumplirse con el pago por la extorsión hará pública la información, “el 20 de noviembre es la fecha que dieron. Si la hipótesis del ataque interno es real, eso no pasará”.

El periodista también planteó la necesidad de contar ya con la Ley de ciberseguridad nacional.

 “Creo que es algo urgente porque es cada vez más frecuente; yo todos los días estoy notificando de un incidente nuevo, robos de información masivo, robos de datos de prácticamente todos los mexicanos. Debe haber un instrumento legal que ayude a homologar criterios de los 3 niveles de gobierno para que eviten que sigan ocurriendo estas filtraciones o ataques que muchas veces se pueden evitar de formas sumamente sencillas”.