Periodista afirma que recibió evidencia del padrón de 2024 vinculada a posible hackeo del INE

El periodista Ignacio Gómez Villaseñor ofreció una actualización sobre la investigación del presunto hackeo a los sistemas del Instituto Nacional Electoral (INE), en la que pudo confirmar con el grupo Sc0rp10n que una de las capturas difundidas por este corresponde a un manual interno del instituto del que no existía acceso público.

Según explicó, tuvo acceso al documento en formato PDF y comprobó que “el manual del INE al que se hace referencia no cuenta con ninguna liga pública; es decir, el atacante tuvo que acceder a él mediante un ataque”.

Gómez Villaseñor indicó que el grupo atacante reconoció que la captura provino directamente de ese manual y que su acceso se logró tras intervenir el sistema.

En sus palabras, el material permitió conocer a Sc0rp10n “cómo operaba la configuración interna de las VPN del Instituto”. Además, el comunicador precisó que el atacante dejó visible “la leyenda del INE y de la Dirección de Tecnología en la captura, pues no buscaba hacer pasar ese documento como una cuenta comprometida, sino mostrar que se trataba de material no público”.

Tras la respuesta del INE, el periodista señaló que Sc0rp10n le envió lo que afirmó ser evidencia del padrón electoral actualizado a 2024, “es decir, una filtración que, hasta el momento, no ha sido pública, a diferencia de la ya conocida de 2018, reconocida en varias ocasiones por las autoridades electorales”.

Para corroborar la información, Gómez Villaseñor dijo que consultó a Nicolás Azuara, analista en ciberseguridad, quien evaluó la muestra enviada por el grupo. Dijo que el análisis de Azuara determinó que “las CURP incluidas en la muestra son válidas y no aparecen en la filtración de 2018”, y tras revisar los datos del supuesto padrón de 2024, concluyó que “parece ser válida”, tanto por su formato como por contener información no presente en la base de 2018.

El periodista dijo que, hasta el momento, el INE no ha determinado la procedencia de las demás imágenes publicadas por Sc0rp10n como evidencia, salvo la correspondiente al manual.

Aun así, recordó que, en su comunicado, el instituto reconoce la posibilidad de que exista un backdoor que permita algún tipo de acceso no autorizado e indicó que está llevando a cabo “todas las medidas técnicas necesarias para verificar exhaustivamente que no exista el supuesto backdoor”.

Los backdoors son las “puertas traseras” que permiten a un atacante mantener el acceso remoto y persistente a un sistema, incluso después de que se haya detectado una intrusión.

Gómez Villaseñor enfatizó que “resulta prematuro descartar un hackeo, como lo ha insinuado la autoridad electoral, dado que las auditorías a sus sistemas aún no han concluido”. Agregó que dichas revisiones deberían hacerse públicas para “garantizar certeza y transparencia, y evitar que se repita un intento institucional por encubrir un posible ciberataque”.

El periodista agradeció a los medios de comunicación que han considerado ambas posturas y aclaró que su objetivo principal es informar sobre un posible ataque que podría tener serias consecuencias para México. Añadió que su actual viaje fuera del país ha limitado su comunicación, pero que continuará publicando actualizaciones en la medida de lo posible.

En sus mensajes anteriores, Gómez Villaseñor no descartó la existencia de backdoors en la red del INE luego de que el organismo señaló en un comunicado que “no existe evidencia de vulneración ni indicios de actividad anómala en los sistemas institucionales”.

Antecedentes de la denuncia

El caso se originó con una serie de publicaciones realizadas por Gómez Villaseñor el pasado sábado en la red social X, en las que advirtió sobre un presunto hackeo a los sistemas internos del INE por parte del grupo de ciberdelincuentes conocido como Sc0rp10n.

En su primera publicación, el periodista calificó el hecho como “el peor hackeo en la historia del INE”, al asegurar que dicho grupo había puesto en venta el “acceso TOTAL a los servidores internos” de la institución.

De acuerdo con Gómez, los atacantes afirmaron haber sido contratados por un partido político hace aproximadamente un año. En una de las capturas compartidas por el periodista se lee: “Hola, hoy estamos aquí para ofrecer uno de nuestros activos más valiosos. Como saben algunos de nuestros clientes más privados, un partido político nos contrató hace un año para extraer algunos datos famosos de este Instituto. No voy a declarar públicamente qué tipo de datos son, pero pueden imaginarlo”.

El comunicador afirmó que la evidencia difundida por el grupo “es bastante contundente” y que los atacantes “instalaron backdoors avanzadas y silenciosas en su red”, lo que, según dijo, haría que el instituto “no pudiera encontrarlas, incluso sabiendo que fueron hackeados”.

Añadió que el ataque significaría “una intrusión total en la red operativa del INE con posibilidad de manipular o exfiltrar información sensible”, entre la que mencionó datos del padrón o listado nominal, credenciales de acceso de personal, documentos administrativos y comunicaciones técnicas.

El periodista indicó no tener información sobre el partido político que habría financiado el ataque ni sobre el costo de los accesos ofrecidos por el grupo.

En publicaciones posteriores, Gómez Villaseñor indicó que “la cuenta y la red VPN comprometida eran reales” y que, de acuerdo con sus fuentes, “fueron eliminadas hace aproximadamente un año, justo durante el periodo electoral”, lo que coincidiría con la versión del atacante sobre la fecha de su presunta contratación.

Según el periodista, las redes actuales del INE ya cuentan con autenticación multifactor (MFA), implementada tras aquella depuración, pero “este mecanismo depende directamente de las cuentas de correo institucional de los empleados”, y existen “filtraciones con cookies de sesión activas que permitirían ingresar a esos correos y obtener el código de validación del MFA”.

Gómez Villaseñor sostuvo que especialistas en ciberseguridad consideran “técnicamente viable lo descrito por Sc0rp10n respecto a la creación de nuevas VPN dentro de la infraestructura comprometida”, mediante “túneles UDP sobre DNS”, una técnica que permitiría mantener comunicaciones encubiertas. “Aunque suene técnico -escribió-, estos elementos respaldan la veracidad del ataque” y explican “lo que realmente pudo haber ocurrido”.

El periodista insistió en que “el incidente es sumamente grave y el INE no debe minimizarlo”.

Respuesta del INE

Ante la difusión de la denuncia, el Instituto Nacional Electoral emitió un comunicado en el que reconoció que el evento al que se hacía referencia “corresponde a una incidencia registrada el año pasado, durante el periodo electoral, que fue atendida y contenida oportunamente”.

Señaló que las redes actuales “cuentan con autenticación multifactor (MFA) y otros controles de seguridad, fortalecidos a partir de esa fecha y que impiden el uso de accesos o credenciales previas”.

#CertezaINE | El INE garantiza la integridad, disponibilidad y seguridad de sus sistemas informáticos.https://t.co/MVYEJ4RsB6 pic.twitter.com/hiFlU2Uyy4

— @INEMexico (@INEMexico) October 25, 2025

El INE precisó que hace dos meses realizó “una depuración total de las cuentas VPN activas”, complementada con la implementación del doble factor de autenticación para todo el personal con acceso remoto. Aseguró además que “a la fecha, no existe evidencia de vulneración ni indicios de actividad anómala en los sistemas institucionales”.

El instituto informó que sus áreas técnicas, en coordinación con la Secretaría de Seguridad y Protección Ciudadana (SSPC) y su proveedor de ciberseguridad, mantienen una revisión preventiva y monitoreo permanente. Indicó que, aunque se analizaron “los supuestos datos publicados en la dark web”, hasta el momento “no se ha identificado información que pertenezca al INE ni evidencia que sustente las afirmaciones difundidas”.

Como medida adicional, un grupo de ingenieros se encuentra en oficinas centrales “realizando verificaciones técnicas sobre la infraestructura de comunicaciones y los componentes de seguridad en el segmento de red reportado”. El comunicado concluye que “se adoptarán todas las medidas técnicas necesarias para verificar exhaustivamente que no exista el supuesto backdoor mencionado”.

Periodista cuestiona postura del INE

Tras la publicación del comunicado del INE, Gómez Villaseñor señaló: El instituto “reconoce prácticamente todo lo que reporté: que la cuenta de VPN vulnerada fue eliminada, que ya implementaron MFA, entre otros puntos”.

Sin embargo, cuestionó que no se mencionara que “el propio sistema de MFA puede ser vulnerado, ya que lo vincularon a correos con credenciales previamente filtradas”.

El periodista también cuestionó que el INE mostrara “profundo desconocimiento técnico”, al afirmar que la evidencia había sido publicada en la dark web. “Aclaro que la publicación de Sc0rp10n no está en la dark web, como afirman, sino en un foro de la clearnet al que, por responsabilidad, no haré referencia para evitar su difusión”, escribió.

Además, advirtió que, según el propio atacante, este “mantiene acceso persistente a los sistemas” y que “en cualquier momento podría liberar nueva evidencia”, lo que dejaría “completamente expuesto” al instituto frente a “esta postura institucional tan lamentable”.