Un ciberdelincuente habría utilizado un chatbot de inteligencia artificial para ejecutar una serie de ataques contra dependencias del gobierno mexicano, logrando sustraer alrededor de 150 gigabytes de información confidencial, de acuerdo con un reporte internacional.
Entre las instituciones afectadas se encuentran el Servicio de Administración Tributaria (SAT), el Instituto Nacional Electoral (INE) y diversas administraciones estatales, como las de Ciudad de México, Jalisco, Michoacán y Tamaulipas.
Asimismo, se reportaron intrusiones en el Registro Civil de la capital del país y en el sistema de agua de Monterrey, lo que amplía el alcance del presunto ataque a áreas sensibles de servicios públicos.
Uso de inteligencia artificial para vulnerar sistemas
Según la investigación, el responsable habría empleado el chatbot Claude, desarrollado por Anthropic, para generar instrucciones con el objetivo de identificar vulnerabilidades en portales gubernamentales y automatizar la extracción de datos. La empresa de ciberseguridad Gambit Security detalló que el usuario pidió a la herramienta actuar como un “hacker de élite” para detectar fallas en los sistemas.
El ataque habría iniciado en diciembre y se prolongó durante aproximadamente un mes.
Entre la información presuntamente sustraída se encontrarían 195 millones de registros de contribuyentes, datos del padrón electoral del INE, así como credenciales de empleados públicos y otros archivos sensibles.
El reporte señala que el chatbot advirtió al usuario sobre la naturaleza maliciosa de sus solicitudes; sin embargo, el atacante insistió hasta lograr evadir los filtros de seguridad de la plataforma.
Investigaciones en curso
En diciembre de 2025, la Secretaría de Anticorrupción y Buen Gobierno informó que abrió 20 investigaciones por presuntas vulneraciones de datos personales en dependencias públicas y privadas. Hasta el momento, no se ha confirmado si esas indagatorias están relacionadas con este caso.
La dependencia señaló entonces que podrían imponerse sanciones administrativas e incluso penales, y subrayó que se trataba de la primera ocasión en que la autoridad garante en materia de protección de datos personales emprendía acciones de tal magnitud.
Las autoridades no han detallado el impacto total del incidente ni las medidas adicionales que se implementarán para reforzar la ciberseguridad en las instituciones afectadas.