Periodista responde al INE; no descarta la existencia de 'puertas traseras' con acceso a sus sistemas

El periodista Ignacio Gómez Villaseñor no descartó la existencia de backdoors en la red del Instituto Nacional Electoral (INE), luego de que el organismo señaló en un comunicado que “no existe evidencia de vulneración ni indicios de actividad anómala en los sistemas institucionales”.

Esto, en respuesta a la denuncia hecha por el periodista sobre el presunto acceso no autorizado a los servidores del organismo, atribuido al grupo de ciberdelincuentes conocido como Sc0rp10n.

Los backdoors son las “puertas traseras” que permiten a un atacante mantener el acceso remoto y persistente a un sistema, incluso después de que se haya detectado una intrusión.

En su publicación más reciente, el comunicador precisó que una de las imágenes utilizadas como evidencia por el grupo Sc0rp10n “forma parte de un manual interno del INE”, al que dijo haber tenido acceso, aunque aclaró que “el resto de los gráficos aún se desconoce de dónde provienen”.

Añadió: “En términos claros: no se descarta la posibilidad de que existan backdoors con acceso persistente, pero resulta llamativo que Sc0rp10n haya utilizado una captura de un manual como parte de su evidencia”.

Gómez Villaseñor explicó que ya contactó al actor malicioso para obtener su versión sobre la utilización de dicho material y aseguró que cualquier nueva información “será dada a conocer oportunamente por esta vía”.

Antecedentes de la denuncia

El caso se originó con una serie de publicaciones realizadas por Gómez Villaseñor este sábado en la red social X, en las que advirtió sobre un presunto hackeo a los sistemas internos del INE por parte del grupo de ciberdelincuentes conocido como Sc0rp10n.

En su primera publicación, el periodista calificó el hecho como “el peor hackeo en la historia del INE”, al asegurar que dicho grupo había puesto en venta el “acceso TOTAL a los servidores internos” de la institución.

De acuerdo con Gómez, los atacantes afirmaron haber sido contratados por un partido político hace aproximadamente un año. En una de las capturas compartidas por el periodista se lee: “Hola, hoy estamos aquí para ofrecer uno de nuestros activos más valiosos. Como saben algunos de nuestros clientes más privados, un partido político nos contrató hace un año para extraer algunos datos famosos de este Instituto. No voy a declarar públicamente qué tipo de datos son, pero pueden imaginarlo”.

El comunicador afirmó que la evidencia difundida por el grupo “es bastante contundente” y que los atacantes “instalaron backdoors avanzadas y silenciosas en su red”, lo que, según dijo, haría que el instituto “no pudiera encontrarlas, incluso sabiendo que fueron hackeados”.

Añadió que el ataque significaría “una intrusión total en la red operativa del INE con posibilidad de manipular o exfiltrar información sensible”, entre la que mencionó datos del padrón o listado nominal, credenciales de acceso de personal, documentos administrativos y comunicaciones técnicas.

El periodista indicó no tener información sobre el partido político que habría financiado el ataque ni sobre el costo de los accesos ofrecidos por el grupo.

En publicaciones posteriores, Gómez Villaseñor indicó que “la cuenta y la red VPN comprometida eran reales” y que, de acuerdo con sus fuentes, “fueron eliminadas hace aproximadamente un año, justo durante el periodo electoral”, lo que coincidiría con la versión del atacante sobre la fecha de su presunta contratación.

Según el periodista, las redes actuales del INE ya cuentan con autenticación multifactor (MFA), implementada tras aquella depuración, pero “este mecanismo depende directamente de las cuentas de correo institucional de los empleados”, y existen “filtraciones con cookies de sesión activas que permitirían ingresar a esos correos y obtener el código de validación del MFA”.

Gómez Villaseñor sostuvo que especialistas en ciberseguridad consideran “técnicamente viable lo descrito por Sc0rp10n respecto a la creación de nuevas VPN dentro de la infraestructura comprometida”, mediante “túneles UDP sobre DNS”, una técnica que permitiría mantener comunicaciones encubiertas. “Aunque suene técnico -escribió-, estos elementos respaldan la veracidad del ataque” y explican “lo que realmente pudo haber ocurrido”.

El periodista insistió en que “el incidente es sumamente grave y el INE no debe minimizarlo”.

Respuesta del INE

Ante la difusión de la denuncia, el Instituto Nacional Electoral emitió un comunicado en el que reconoció que el evento al que se hacía referencia “corresponde a una incidencia registrada el año pasado, durante el periodo electoral, que fue atendida y contenida oportunamente”.

Señaló que las redes actuales “cuentan con autenticación multifactor (MFA) y otros controles de seguridad, fortalecidos a partir de esa fecha y que impiden el uso de accesos o credenciales previas”.

#CertezaINE | El INE garantiza la integridad, disponibilidad y seguridad de sus sistemas informáticos.https://t.co/MVYEJ4RsB6 pic.twitter.com/hiFlU2Uyy4

— @INEMexico (@INEMexico) October 25, 2025

El INE precisó que hace dos meses realizó “una depuración total de las cuentas VPN activas”, complementada con la implementación del doble factor de autenticación para todo el personal con acceso remoto. Aseguró además que “a la fecha, no existe evidencia de vulneración ni indicios de actividad anómala en los sistemas institucionales”.

El instituto informó que sus áreas técnicas, en coordinación con la Secretaría de Seguridad y Protección Ciudadana (SSPC) y su proveedor de ciberseguridad, mantienen una revisión preventiva y monitoreo permanente. Indicó que, aunque se analizaron “los supuestos datos publicados en la dark web”, hasta el momento “no se ha identificado información que pertenezca al INE ni evidencia que sustente las afirmaciones difundidas”.

Como medida adicional, un grupo de ingenieros se encuentra en oficinas centrales “realizando verificaciones técnicas sobre la infraestructura de comunicaciones y los componentes de seguridad en el segmento de red reportado”. El comunicado concluye que “se adoptarán todas las medidas técnicas necesarias para verificar exhaustivamente que no exista el supuesto backdoor mencionado”.

Periodista cuestiona postura del INE

Tras la publicación del comunicado del INE, Gómez Villaseñor señaló: El instituto “reconoce prácticamente todo lo que reporté: que la cuenta de VPN vulnerada fue eliminada, que ya implementaron MFA, entre otros puntos”.

Sin embargo, cuestionó que no se mencionara que “el propio sistema de MFA puede ser vulnerado, ya que lo vincularon a correos con credenciales previamente filtradas”.

El periodista también cuestionó que el INE mostrara “profundo desconocimiento técnico”, al afirmar que la evidencia había sido publicada en la dark web. “Aclaro que la publicación de Sc0rp10n no está en la dark web, como afirman, sino en un foro de la clearnet al que, por responsabilidad, no haré referencia para evitar su difusión”, escribió.

Además, advirtió que, según el propio atacante, este “mantiene acceso persistente a los sistemas” y que “en cualquier momento podría liberar nueva evidencia”, lo que dejaría “completamente expuesto” al instituto frente a “esta postura institucional tan lamentable”.