Silent4Business señala fallas estructurales en la ciberseguridad del sector público

Los ciberataques contra dependencias públicas en México, registrados a inicios de 2026, no se limitaron a la exposición de información sensible. Sus efectos colocan a la población ante un riesgo prolongado de fraude. Layla Delgadillo, CEO de Silent4Business, advirtió que los datos sustraídos pueden derivar en “meses o años de intentos de fraude” contra miles de personas.

Para la empresa especializada, estos incidentes revelan una debilidad estructural en la protección de la información. “La ciberseguridad sigue tratándose como un proyecto reactivo y no como una capacidad permanente de Estado”, afirmó Delgadillo. Esta visión, explicó, deja a las instituciones en desventaja frente a amenazas cada vez más sofisticadas.

El ataque atribuido al grupo de ciberdelincuencia “Chronus” ilustra la magnitud del problema. Un solo actor logró acceso a más de veinte organismos en un periodo reducido, lo que exhibe la ausencia de una arquitectura de seguridad robusta y de lineamientos obligatorios en el sector público. “Sin gestión de riesgo continua, gobierno de identidades sólido, monitoreo y respuesta madura, los atacantes encuentran caminos repetibles”, insistió la especialista.

Delgadillo subrayó que el rezago no se limita al ámbito tecnológico. “La brecha tampoco es solo técnica: incluye procesos, coordinación y estándares”, dijo. La falta de una gestión constante del riesgo, así como debilidades en el control de identidades y en los mecanismos de respuesta, abre la puerta a nuevas intrusiones.

Las consecuencias de estas filtraciones superan el momento en que ocurren. La exposición de bases de datos de instituciones estratégicas deja a la ciudadanía frente a amenazas como suplantación de identidad, fraudes con información fiscal o registral, campañas de phishing más creíbles y extorsiones.

A partir del análisis del equipo de Cyber Threat Intelligence de la compañía, se detectaron tres riesgos con crecimiento acelerado en México: la ingeniería social avanzada, el ransomware y el uso de inteligencia artificial por parte de actores maliciosos para ampliar esquemas de engaño. Este contexto obliga a replantear la estrategia de defensa.

De acuerdo con Silent4Business, la respuesta no consiste en sumar herramientas, sino en redefinir el modelo operativo. “Hay que mover la conversación de ‘herramientas’ a modelo operativo”, planteó Delgadillo. Este enfoque contempla medición constante del riesgo, protección de identidades y accesos, monitoreo permanente y planes de continuidad con simulaciones que permitan reducir los tiempos de reacción.

“La prevención cuesta una fracción de la remediación, y esa diferencia define si una organización resiste o se paraliza”, afirmó. Este criterio aplica tanto para el sector público como para el privado, en particular para pequeñas y medianas empresas.

En la parte final, Delgadillo insistió en la necesidad de un marco legal que ordene el ecosistema de ciberseguridad en México. Señaló que se requiere certeza jurídica, obligaciones mínas y coordinación entre actores. Sobre la iniciativa de Ley Federal de Ciberseguridad, indicó que debe fijar estándares para la infraestructura crítica, delimitar responsabilidades y fortalecer la colaboración entre sectores. “Sin un marco claro, los esfuerzos permanecen aislados; con un marco sólido, se puede construir resiliencia nacional de forma consistente”, concluyó.