Esta semana se identificó una vulneración grave en el portal de Datos Abiertos de la Ciudad de México, donde atacantes insertaron contenido conocido como SEO Spam farmacéutico, o Farma Hacking. Aunque a primera vista podría parecer solo publicidad no deseada, la presencia de este tipo de inserciones revela fallas profundas en la seguridad del sitio y en la protección de datos de los ciudadanos.
El objetivo del atacante, en este caso, es económico: promocionar farmacias ilegales y productos sin regulación. Sin embargo, el problema va más allá. Este hecho confirma que el sistema fue comprometido, lo que abre la posibilidad de que se haya dejado una puerta trasera para nuevos accesos incluso si el contenido visible fue retirado.
Además, este tipo de hackeo puede evolucionar hacia ataques de pharming, es decir, redireccionar al usuario hacia sitios falsos que instalan virus o roban información personal. Un ataque así afecta no solo a quien consulta datos públicos, sino a cualquier ciudadano que se relacione digitalmente con el gobierno.
Los reportes a los dominios de la CDMX no son nuevos, pero estas novedades son de llamar la atención.
Un golpe a la confianza pública
El sitio de Datos Abiertos debería ser un referente de transparencia y veracidad. Tener publicidad de medicamentos ilegales incrustada en sus páginas implica una pérdida inmediata de credibilidad institucional.
Tres consecuencias son especialmente graves:
- Daño a la imagen oficial: La presencia de contenido ilegal en un dominio gubernamental hace evidente la falta de control y vigilancia digital.
- Riesgo de desindexación en Google: El buscador puede considerar el portal como peligroso y ocultarlo en los resultados.
- Confusión y exposición del ciudadano: Personas que buscan información legítima pueden terminar en sitios falsos, poniendo en riesgo sus dispositivos y sus datos.
El problema no termina ahí: el portal Llave CDMX también está expuesto
A la par de esta vulneración, periodistas especializados como Ignacio Gómez Villaseñor y Víctor Ruiz han señalado fallas importantes en el portal Llave CDMX, la plataforma que concentra trámites, documentos personales, licencias de conducir, actas, historial en programas sociales y más.
Este portal se presenta como “Tu espacio único de interacción con el gobierno”. Sin embargo, se detectó que parte de su sistema de autenticación está visible públicamente, lo cual es equivalente a “dejar la llave puesta en la puerta”.
Si un atacante logra explotar esa falla, puede acceder a la información personal de cualquier ciudadano registrado:
- Actas y documentos civiles
- Pagos y adeudos
- Becas
- Licencias y verificaciones
- Programas sociales
- E incluso datos de bienes personales
Lo más preocupante es que este sistema es el modelo que el Gobierno Federal planea replicar en todo el país bajo el proyecto de “gobernanza digital”. Es decir, lo que hoy está expuesto en la Ciudad de México podría multiplicarse a nivel nacional.
El problema de fondo: no se están cumpliendo ni los principios básicos de la ciberseguridad
La ciberseguridad se sustenta en tres pilares elementales, conocidos como la triada CIA:
- Confidencialidad: proteger la información.
- Integridad: asegurar que los datos no sean alterados.
- Disponibilidad: garantizar acceso seguro al sistema.
Lo que hemos visto en estas dos vulneraciones indica que el gobierno no está garantizando ninguno de los tres.
Y esto no es algo nuevo: la comunidad de especialistas lleva meses —si no es que años— advirtiendo estos riesgos.
Conclusión
No se trata de política partidista:
Se trata de nuestra privacidad, nuestros documentos, nuestra información, nuestra identidad digital.
Cuando el gobierno exige que hagamos nuestros trámites en línea, está obligado a garantizar nuestra seguridad digital.
Si no puede hacerlo, está comprometiendo la confianza pública y la seguridad de millones de ciudadanos.
El país necesita modernización digital, sí.
Pero no a costa de dejarnos vulnerables.
Semblanza:
Soy Luis Carreón, programador y creador de Ciber Conciencia Digital. Mi trabajo consiste en investigar cómo la tecnología impacta nuestra seguridad como ciudadanos. Analizo vulnerabilidades en plataformas públicas y explico sus riesgos con palabras simples, para que cualquiera pueda entender lo que está en juego: nuestra identidad, nuestros datos y nuestra privacidad. Mi objetivo es que más personas estén informadas y protegidas en un país donde la digitalización avanza más rápido que las medidas de seguridad.
