¿IMSS sufrió un hackeo? Reportan venta de información médica y personal de 20 millones de pensionados en la ‘dark web’ por 50 mil pesos

CIUDAD DE MÉXICO.- En la dark web, espacio de internet que oculta la identidad de sus usuarios, se comercializa información personal de cerca de 20 millones de pensionados del IMSS. Los registros contienen desde nombre, dirección, CURP y Número de Seguridad Social, hasta padecimientos médicos.

El periodista especializado en ciberseguridad, Ignacio Gómez Villaseñor, reveló a EL UNIVERSAL que el grupo de hackers Sc0rp10nn es el responsable del robo y que la base completa se ofrece en 50 mil pesos.

Se filtran padecimientos médicos, nombres, CURP, fechas de nacimiento y, básicamente, es como un coctel de información para poder realizar fraude y datos de extorsión, incluso. Entonces, es sumamente grave. Por ejemplo, el tipo de sangre, incluso, para cuestión de tráfico de órganos”, advirtió.

¿Qué incluye la base filtrada?

De acuerdo con los especialistas, la información extraída es suficiente para cometer delitos como robo de identidad o extorsión. Entre los datos expuestos destacan:

México

Acusan filtración de nombre completo, dirección, CURP, fecha de nacimiento y padecimientos médicos de 20 millones de pensionados del IMSS

• Nombre completo y dirección particular
• CURP y Número de Seguridad Social
• Fechas de nacimiento
• Padecimientos médicos y tipo de sangre
• Información que puede ser utilizada en fraudes financieros y estafas

Además, Gómez Villaseñor explicó que el negocio de estas filtraciones es mucho más barato de lo que se piensa:

Muchas veces se cree que estas bases se suelen vender en muchísimos millones y la verdad es que no, es por unos cuantos miles de pesos. A veces incluso pueden vender por consultas específicas”.

Te puede interesar: ISSSTE realizará cirugías robóticas en 6 hospitales del País: Robots “Da Vinci” operarán a partir del 24 de septiembre

Historial de vulneraciones al IMSS

La venta de datos de pensionados se suma a una serie de incidentes recientes contra la seguridad digital del instituto:

• 2025: robo de 56 millones de registros de derechohabientes.
• Mayo 2025: filtración de 31 gigabytes de datos organizados por estados.
• IMSS Bienestar en San Luis Potosí: hackeo de 4.7 gigabytes con información de médicos aspirantes.
• Infonavit: se detectó la venta de 80 millones de registros personales.
• Diversas dependencias federales: en mayo se reportó la sustracción de 725 gigabytes de información gubernamental.

“Cada vez que un atacante vulnera al IMSS, nos vulnera a todos, pero también incluyendo a la gente del IMSS y a la gente del gobierno”, afirmó Víctor Ruiz, experto en ciberseguridad y fundador de Silikn.

El perfil de los hackers

El grupo Sc0rp10nn cuenta con un historial comprobado de ataques, entre ellos la vulneración de los sistemas del C5 de Hidalgo y de la Fiscalía de Nuevo León, donde incluso las autoridades confirmaron la sustracción de datos.

“Este hacker siempre suele publicar toda la evidencia de los ingresos, de cómo están los sistemas, de cómo se está visualizando la información… además de que Sc0rp10nn lleva ya varios ataques y no me he enterado de ninguno que no sea cierto”, explicó Gómez Villaseñor.

Por su parte, Manuel Rivera, de NEKT Group, sostuvo que la base de datos de pensionados coincide con registros reales del IMSS:“La fecha a partir de la cual se ofrece es el 9 de agosto, y es una base de datos de 1.4 gigabytes, que por el tamaño perfectamente puede representar 20 millones de registros”.

Posición del IMSS

El instituto negó que su base de datos haya sido hackeada directamente. Sin embargo, reconoció la posibilidad de una “filtración por el uso indebido de acceso a información institucional por parte de personal”.

En un comunicado, aseguró que sus sistemas cuentan con “mecanismos robustos de seguridad y análisis de prevención de vulnerabilidades”, y adelantó que trabaja con autoridades para determinar responsabilidades y aplicar sanciones en caso necesario.

Riesgos para los pensionados

Los especialistas coinciden en que la venta de esta información puede tener consecuencias directas para millones de personas:

• Extorsión telefónica: criminales podrían amenazar con datos reales de los afectados.
• Suplantación de identidad: desde trámites financieros hasta despojo de beneficios.
• Fraudes electrónicos: uso indebido de información para solicitar créditos o transferencias.
• Exposición médica: con datos como tipo de sangre y enfermedades, se incrementa el riesgo de delitos graves.

Te puede interesar: IMSS brindará consulta médica remota a mexicanos afiliados que residen en el extranjero