Cerca de 20 millones de pensionados del IMSS tienen sus datos personales, como nombre, dirección, CURP, Número de Seguridad Social y padecimientos, a la venta en la dark web. Ignacio Gómez Villaseñor, periodista especializado en ciberseguridad, reveló que un grupo de hackers llamado Sc0rp10nn está ofreciendo esta información por 50 mil pesos. Aunque el IMSS ha negado que su base de datos haya sido pirateada, admitió una posible filtración debido al uso indebido de información institucional por parte de su personal.

Este no es el primer incidente de seguridad que enfrenta el IMSS. En 2025, sus bases de datos han sido hackeadas en tres ocasiones, incluyendo un ataque que comprometió 56 millones de registros de derechohabientes. Gómez Villaseñor advirtió que la exposición de estos datos puede llevar a los pensionados a ser víctimas de extorsión, suplantación de identidad y otros delitos. La información filtrada incluye detalles sensibles como padecimientos médicos y tipo de sangre, lo que podría facilitar fraudes y hasta tráfico de órganos.

El periodista explicó que los datos se venden en la dark web a precios relativamente bajos, lo que facilita su acceso. "A veces se cree que estas bases se venden por millones, pero en realidad, puedes acceder a registros por unos pocos miles de pesos", indicó. Además, se pueden realizar consultas específicas sobre personas concretas, lo que incrementa el riesgo de extorsión.

Gómez Villaseñor ha seguido de cerca las actividades de Sc0rp10nn, que tiene un historial de ataques cibernéticos confirmados. El año pasado, este grupo vulneró la ciberseguridad del C5 de Hidalgo y de la fiscalía de Nuevo León, que posteriormente reconoció la sustracción de información. "Sc0rp10nn ha demostrado ser un hacker real, publicando evidencia de sus ataques", afirmó.

Recientemente, el grupo expuso otro hackeo que afectó la base de datos de la selección de médicos del IMSS Bienestar en San Luis Potosí. Esta filtración incluye 4.7 gigabytes de información sensible sobre los médicos que participaron en el proceso de contratación, incluyendo detalles personales y médicos. Gómez Villaseñor destacó que esta información puede ser utilizada para extorsionar a los profesionales de la salud, lo que representa un grave riesgo para su seguridad.