En el primer trimestre de 2026, dos instituciones bancarias sufrieron vulneraciones informáticas a través de un código malicioso de tipo ransomware: el primero identificado como Lockbit; el segundo, Qilin.
De acuerdo con el reporte Incidentes cibernéticos ocurridos en 2026 en el sistema financiero nacional que han sido reportados al Banco de México [Banxico] o a la Comisión de Nacional Bancaria y de Valores [CNBV], los ciberataques ocurrieron uno en enero y otro en febrero.
El primero afectó el servicio de transferencias electrónicas mientras que el segundo vulneró también los canales electrónicos. En ningún caso se registró afectación a clientes, señala el informe.
Respecto a los daños a la entidad, el reporte de Banxico —diferente a ocasiones anteriores— marcó como pendiente ese rubro. La afectación considera los gastos e inversiones derivados de la gestión del incidente y, en su caso, el monto defraudado.
LockBit y Qilin son dos de los grupos de ransomware más activos en los últimos dos años, con impacto notable en el sector financiero mediante robo de datos sensibles y cifrado de sistemas.
El director general de FTI Consulting —firma global especializada en crisis y transformación—, Keith Wojcieszek, detalló en una publicación de LinkedIn en enero pasado que mientras Qilin se ha sofisticado, el más reciente lanzamiento de Lockbit, que opera como ransomware como servicio (RaaS), facilita a los ciberdelincuentes vulnerar casi cualquier parte del ecosistema financiero.
“La forma en que los atacantes logran entrar no ha cambiado demasiado: la explotación de vulnerabilidades sigue a la cabeza, el phishing mantiene su efectividad y hemos observado un marcado aumento en la suplantación de identidad de ejecutivos mediante AI (Inteligencia Artificial) para forzar transferencias bancarias fraudulentas”, apuntó.
Índice de temas
El golpe a la SHF: LockBit 5.0 exfiltra 277 GB de datos
La firma Silikn reportó a inicios de febrero de 2026 que la Sociedad Hipotecaria Federal (SHF) fue víctima de un ciberataque por el ransomware LockBit 5.0 a inicios de 2026. Este ataque derivó en la exfiltración de 277 GB de datos sensibles, incluyendo expedientes financieros que actualmente se encuentran expuestos en la dark web.
La coincidencia de la revelación con el reporte de Banxico en los tiempos y el método (ransomware) sería la confirmación del incidente reportado originalmente por Silikn.
Para el fundador y director general de la firma de ciberseguridad, Víctor Ruiz, este incidente pone de relieve la fragilidad operativa de la banca de desarrollo frente a grupos de extorsión digital. La parálisis en procesos de fondeo y validación de créditos subraya la necesidad de fortalecer la resiliencia en las instituciones del Estado, consideró.
La exfiltración de 277 GB en una institución de desarrollo evidencia una falla en los controles de movimiento lateral. Los afiliados de LockBit 5.0 suelen explotar protocolos como RDP y SMB para navegar entre dominios internos tras el compromiso inicial.
La segmentación de red, mediante la creación de microperímetros y el aislamiento de entornos de virtualización (ESXi), es la medida técnica que habría impedido que un acceso en la red de usuarios escalara hasta los expedientes financieros críticos.
¿Cómo logró LockBit 5.0 evadir la detección?
La efectividad de LockBit 5.0 en el incidente de la SHF radica en su capacidad de mimetismo criptográfico. A diferencia de versiones anteriores, este ransomware emplea primitivas como ChaCha20 y X25519 para el cifrado de datos y el intercambio de claves.
Estos son los mismos algoritmos que la banca moderna utiliza en protocolos TLS 1.3 o QUIC por su alto rendimiento en sistemas IBM z/OS y entornos virtualizados ESXi.
De este modo, el tráfico de exfiltración de los atacantes se volvió virtualmente indistinguible del tráfico legítimo de servicios bancarios y APIs, permitiendo que 277 GB de información salieran de la red sin activar alertas en los firewalls convencionales que no realizan inspección TLS profunda.
Esta sofisticación técnica subraya una vulnerabilidad estructural en México: la dependencia de una seguridad perimetral que confía ciegamente en el tráfico cifrado.
Al aprovechar la micro-segmentación parcial de las entidades financieras, LockBit 5.0 convirtió la propia capa de protección de la banca en su mejor camuflaje.
El caso demuestra que ya no basta con cifrar las comunicaciones; la prioridad debe migrar hacia modelos de detección conductual (UEBA/XDR) capaces de identificar anomalías de movimiento de datos, incluso cuando estos viajan bajo los estándares criptográficos más robustos del sector.
Posibles consecuencias legales
La filtración de la SHF no es solo un incidente técnico, sino una crisis de cumplimiento bajo el nuevo marco administrativo de 2026. Tras la transferencia de facultades del INAI, la exfiltración de expedientes obliga a las instituciones a notificar a la Secretaría de Anticorrupción y Buen Gobierno y, en el caso de entidades financieras, a la CNBV, en un plazo máximo de 72 horas.
Las responsabilidades administrativas por vulneraciones graves se rigen conforme a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO). Bajo este marco Anticorrupción tiene la potestad de fincar responsabilidades y determinar medidas correctivas ante la falta de protección de los datos personales.
Estas medidas incluyen desde amonestaciones públicas hasta sanciones económicas y administrativas para los servidores públicos responsables, las cuales deben ser notificadas a la CNBV en el plazo establecido para asegurar la transparencia en la gestión de crisis de la banca de desarrollo.
Silikn advirtió que la exposición de datos sensibles (RFC, CURP y expedientes financieros) abre la puerta a demandas colectivas y pone bajo la lupa los controles internos de la CNBV y Banxico, especialmente por la posible falta de notificación oportuna hacia las contrapartes financieras.
Este incidente coincide con la activación del Plan Nacional de Ciberseguridad (diciembre 2025) y la inminente Ley Federal de Ciberseguridad (LFC) prevista para 2026.
El nuevo marco legal exigirá reportes de incidentes en menos de 24 horas y auditorías de resiliencia obligatorias. La mitigación efectiva requiere transitar de una defensa reactiva a una estrategia de resiliencia proactiva.
Medidas para la resiliencia organizacional
Implementar auditorías inmediatas de accesos, segmentación de redes críticas y capacitación regular contra spearphishing son prácticas recomendadas que fortalecen la resiliencia organizacional, con estudios mostrando reducciones significativas en tasas de clics maliciosos —hasta un 86% de acuerdo con Phishing by Industry Benchmarking Report 2025 de KnowBe4— y limitación efectiva de brechas laterales.
En el ecosistema financiero de 2026, la ciberseguridad ha trascendido su rol como mero gasto de IT (Tecnologías de la Información) para convertirse en un pilar estratégico de la viabilidad económica, impulsada por regulaciones como la Ley de Resiliencia Operativa Digital (DORA) y la Directiva de Redes y Sistemas de Información 2 (NIS2), ambas de la Unión Europea, así como por inversiones globales proyectadas por encima de los $300,000 millones de dólares.
El mercado de ciberseguros en 2026 ha evolucionado hacia un modelo de “seguridad basada en evidencia“. Las pólizas actuales no solo cubren la remediación y multas regulatorias, sino que exigen controles comprobables como detección y respuesta de endpoint (EDR) y backups inmutables.
Para las organizaciones, el seguro ya no es solo un respaldo financiero, sino un validador de la postura de seguridad: una póliza denegada o una prima elevada es hoy un indicador temprano de fragilidad operativa que puede comprometer la viabilidad de la institución ante auditorías de la CNBV.
