Hola, soy Chris.
La semana pasada me llegó un mensaje de voz de mi tío: "Sobrino, ¿cómo sé si mis datos del SAT ya los robaron?" Me lo preguntó después de ver en las noticias que hackers vaciaron —literalmente vaciaron— sistemas del gobierno mexicano usando inteligencia artificial. Y la verdad es que su pregunta me pareció la más importante que alguien puede hacer hoy en día.
Porque el hackeo no fue a una empresa X o a una plataforma de streaming. Fue al SAT. Al INE. Al gobierno de tu ciudad. Los datos fiscales y electorales de millones de mexicanos ya circulan en la dark web, y muy poca gente lo sabe aún.
Hoy te cuento qué pasó, por qué importa, y lo más importante qué puedes hacer tú ahora mismo. Bienvenido a tu Despertar de esta semana. Vamos. 🔐
🌎 El Hack de la Semana
México, febrero-marzo 2026. Un grupo de hackers llamado 'Chronus' usó un chatbot de inteligencia artificial para colarse en los sistemas de más de 20 instituciones del gobierno mexicano. El resultado: 2.6 terabytes de información confidencial robada. Para que tengas una idea de la magnitud, eso equivale a unos 500 millones de páginas de texto.
Los blancos fueron el SAT (Servicio de Administración Tributaria —el equivalente mexicano a la SUNAT de Perú, la DIAN de Colombia o la AFIP de Argentina), el INE (Instituto Nacional Electoral, el organismo que administra el padrón de votantes en México), gobiernos estatales de la CDMX, Jalisco, Michoacán y Tamaulipas, el registro civil capitalino y hasta el servicio de agua de Monterrey. En total, los datos de aproximadamente 36.5 millones de personas fueron comprometidos y publicados en foros clandestinos y canales de Telegram.
¿Cómo lo hicieron? Aquí viene la parte que pone los pelos de punta: los atacantes usaron herramientas de inteligencia artificial para automatizar el proceso de búsqueda de vulnerabilidades. Básicamente, le preguntaron a un chatbot especializado: "¿cuál es el punto débil de este sistema?" y el chatbot les respondió con instrucciones paso a paso. Lo que antes requería un equipo de hackers trabajando semanas, hoy puede hacerlo casi cualquier persona en horas.
Pongámoslo en términos del mundo real: imagina que la puerta trasera de tu casa tiene una cerradura oxidada. Tú no lo sabes, pero alguien con un mapa detallado de todas las cerraduras del barrio ya lo sabe, y además tiene una llave maestra fabricada con IA. Eso es lo que pasó.
Lo más grave: estos datos no desaparecen. Una vez en la dark web, se venden, se reutilizan y se combinan con otros para lanzar ataques cada vez más personalizados. El RFC (número fiscal único en México, similar al RUT chileno, el RUC peruano o el NIT colombiano), la CURP (número de identidad personal), la dirección y el historial de ingresos, todo eso ya está disponible para quien quiera comprarlo por unos pocos dólares.
La lección es corta y brutal: cuando hackean al gobierno, te hackean a ti.
📖 Caso Real
Mariana, 34 años, contadora independiente, Ciudad de México.
Un martes por la mañana, Mariana recibió un correo del "SAT" avisándole de una "irregularidad fiscal urgente" en su declaración de enero. El correo tenía el logo correcto, el formato oficial, su RFC completo y hasta el monto exacto de su última declaración. Todo se veía legítimo. Ingresó al enlace y llenó el formulario con sus datos bancarios para "regularizar" su situación.
Dos horas después, su cuenta bancaria mostraba un cargo de 12,400 pesos a una empresa que ella no conocía.
Al llamar al SAT real, le confirmaron que ellos nunca habían enviado ese correo. Pero sí tenían registro de que sus datos fiscales formaban parte de la filtración de datos que había circulado en los últimos días.
El atacante no había adivinado sus datos: los había comprado. Con el RFC, el historial fiscal y la dirección de Mariana en mano, armó un correo tan convincente que incluso una contadora alguien que trabaja con sistemas fiscales todos los días, cayó.
Esta es la razón por la que los hacks a instituciones públicas no son solo "problema del gobierno". Cuando tus datos salen de ahí, eres tú quien paga las consecuencias.
Lección: si el SAT, la DIAN, la SUNAT, la AFIP —o cualquier institución fiscal, bancaria o gubernamental de tu país— te pide datos urgentes por correo, cierra ese correo y entra directamente a la página oficial. Nunca desde el link del email.
🛡️ Tu Escudo de Esta Semana
Activa la verificación en dos pasos en tus portales más importantes. HOY.
Con los datos de millones de mexicanos ya circulando en la dark web, la diferencia entre que te hackeen o no puede ser tan simple como este paso:
1. Entra a tu app bancaria → Seguridad → Verificación en dos pasos → Activar.
2. Si eres de México, entra a sat.gob.mx → Mi portal → Seguridad → Habilita autenticación de dos factores. En tu país: busca "seguridad de cuenta" en el portal de tu entidad fiscal (DIAN, SUNAT, AFIP, SRI, etc.).
3. Descarga Google Authenticator o Microsoft Authenticator en tu celular (son gratis).
4. Vincula tu cuenta escaneando el código QR que te da el portal.
Con esto activo, aunque un hacker tenga tu contraseña, necesitaría también tu celular físico para entrar. Eso cambia todo.
Tarda 5 minutos. Hazlo ahora.
🔧 La Herramienta
Have I Been Pwned — haveibeenpwned.com
Esta herramienta gratuita te dice si tu correo electrónico o número de teléfono aparece en alguna filtración de datos conocida. Incluye bases de datos de hackeos a nivel mundial, y con la magnitud del incidente en México, es muy probable que en las próximas semanas se indexen también datos de esa filtración.
Cómo usarla: entra a haveibeenpwned.com, escribe tu correo y presiona "pwned?". Si aparece en rojo, tus datos ya están comprometidos en alguna filtración y debes cambiar tu contraseña en todos los servicios donde uses ese correo. Si aparece en verde, por ahora estás bien pero revísalo cada mes.
Gratis. Tarda 2 minutos. Hazlo ahora.
😂 La Línea de la Semana
— Oye, ¿ya viste que hackearon al SAT?
— Sí, me enteré. Ya cambiaron todas mis contraseñas.
— ¿Quién? ¿Tú?
— No... los hackers.
(En serio: si usas la misma contraseña en varios lados, el hacker que robó tus datos del SAT ya probablemente tiene acceso a todo lo demás.)
⚡ El Challenge
Esta semana, dedica 15 minutos a hacer un "chequeo de seguridad digital" express:
✔ Entra a haveibeenpwned.com y revisa si tu correo principal está comprometido.
✔ Activa el doble factor en al menos una cuenta importante (banco, SAT o correo).
✔ Si usas la misma contraseña en más de un servicio, cámbiala en al menos uno.
¿Lo hiciste? Respóndeme este email con "ESCUDO 🔐" y cuéntame qué encontraste. Leo todos los mensajes.
Si este email llegó a Promociones, arrástralo a tu bandeja principal para no perderte ninguna edición.
Y si conoces a alguien que necesita esto, comparte esto 👉 despertar.christek.io
Hasta el próximo miércoles.
Chris 🔐