CDMX.- En un foro de ciberdelincuentes, un usuario apodado “Straightonumberone” ofrece paquetes completos de datos biométricos extraídos presuntamente de los servidores del Servicio de Administración Tributaria (SAT) de México. Incluye selfies, huellas dactilares, escaneos de iris, firmas y credenciales como el INE/IFE, todo por 300 dólares por consulta en tiempo real. Según análisis de capturas compartidas en X por el periodista Ignacio Gómez Villaseñor, la interfaz coincide con sistemas legacy del SAT usados entre 2012 y 2018 para la e.firma, y la nitidez de las imágenes sugiere acceso directo a repositorios reales, no montajes.

Este incidente no es aislado: viene tras una ola de hackeos masivos en México a finales de 2025, como el del grupo Chronus que filtró datos de 20 instituciones, incluyendo el SAT y el IMSS, exponiendo millones de registros fiscales y médicos. El SAT negó un breach previo en su app Factura Móvil en diciembre, pese a evidencias de 120 mil CFDIs robados por ByteToBreach. En paralelo, el lanzamiento nacional del CURP biométrico desde enero de 2026 –que obliga a registrar huellas e iris– agrava el riesgo, ya que una filtración como esta permite suplantaciones permanentes en bancos y trámites.

Críticamente, esto revela fallas crónicas en la ciberseguridad gubernamental: servidores olvidados, negaciones oficiales y cero notificaciones a afectados, como en casos previos con la SEP. Mientras el Plan Nacional de Ciberseguridad 2025 reconoce incidentes pasados, la ciudadanía queda vulnerable a fraudes y extorsiones. Urge una auditoría independiente, no más comunicados vacíos.