Los sitios web gubernamentales de Veracruz, Quintana Roo y Zacatecas han sido vulnerados por un hacker que no solo ataca, sino que también vende accesos y herramientas para que otros lo hagan. Se trata de aDriv4, un ciberdelincuente con un historial de más de 1,400 ataques a sitios web en todo el mundo, y ahora, su nuevo objetivo es México.
Esta semana, al menos tres portales oficiales fueron comprometidos con ataques tipo defacement, una técnica en la que los atacantes modifican el contenido de las páginas para dejar evidencia de su intrusión. Entre los afectados están los sitios del Ayuntamiento de San Andrés Tuxtla (Veracruz), Puerto Morelos (Quintana Roo) y Pinos (Zacatecas), donde aDriv4 dejó mensajes (“HaCkeD By aDriv4. Sell WP 0day. Come me”) que exponen las fallas de seguridad en sus sistemas.
Este mensaje no solo prueba que el ataque ocurrió, sino que también es una especie de anuncio: el hacker está vendiendo vulnerabilidades zero-day en sitios web basados en WordPress. En pocas palabras, se trata de fallos de seguridad que los atacantes descubren antes de que el propio proveedor se entere y pueda arreglarlos. Esto significa que otros portales gubernamentales podrían estar en la mira y, peor aún, que más personas podrían tener acceso a estas herramientas para explotarlos.
Sitio hackeado del Municipio de Pinos, Zacatecas. (Fuente: Publimetro)
De acuerdo con registros de Zone-H, una plataforma que rastrea ataques a sitios web, el hacker conocido como aDriv4 ha llevado a cabo al menos 1,412 ataques en todo el mundo. De esos, 504 provienen de una sola dirección IP y 908 han sido ataques masivos. Sus primeras actividades registradas datan de 2016, pero en lo que va de 2025, ya se han confirmado intrusiones en páginas gubernamentales de México.
Expertos en ciberseguridad han analizado su patrón de ataque y advierten que ahora parece estar centrando su atención en sitios oficiales del país.
"Este tipo de defacement no es solo un cambio visual en la página; es una señal de que hay vulnerabilidades críticas que pueden usarse para cosas mucho más graves, como robo de información o la inserción de malware", alertó un especialista en el tema.
Otro analista en ciberseguridad coincidió en que el problema va más allá de la modificación de los sitios:
"El verdadero riesgo no es solo el defacement. Muchas páginas no tienen copias de seguridad bien gestionadas y, en su intento por restaurar el sitio, simplemente eliminan la nota sin revisar si el atacante dejó puertas traseras para volver a entrar."
Estos ataques no solo exponen fallas en la seguridad digital del gobierno, sino que también dejan abierta la posibilidad de ataques más complejos en el futuro.
Según registros de Zone-H, aDriv4 ha realizado más de 1,400 ataques globales.
Podría interesarte leer: Hackers Infectan Computadoras Gubernamentales en México
No solo se trata de ataques a páginas del gobierno, aDriv4 también está vendiendo herramientas para que otros puedan hacer lo mismo. En grupos de mensajería cifrada, el hacker ha estado promocionando un bot llamado “New Bot Private aDriv4 v1 WordPress”, diseñado para explotar vulnerabilidades en miles de sitios basados en WordPress.
Según la información disponible, este bot permite:
El precio: 80 dólares, pero solo para 10 compradores. Esto sugiere que el hacker quiere mantener el acceso exclusivo y evitar llamar demasiado la atención.
"El hecho de que se vendan herramientas de hacking y accesos a sitios gubernamentales es una señal de alerta. No estamos hablando solo de cambiar la apariencia de una página, sino de riesgos mucho mayores, como la filtración de información confidencial o el uso de estos servidores para ataques más grandes", advierte un experto en ciberseguridad.
Este tipo de comercio clandestino en la dark web y en plataformas de mensajería privada pone en riesgo la seguridad digital de muchas instituciones y deja claro que estos ataques no son casos aislados, sino parte de una red más amplia de cibercrimen.
Conoce más sobre: Cibercrimen en la Dark Web: ¿Cómo operan las redes ocultas?
A simple vista, los defacements pueden parecer solo una broma de mal gusto o un simple cambio en la apariencia de una página web. Pero la realidad es que pueden ser la puerta de entrada para problemas mucho más serios. Detrás de estos ataques hay riesgos que no se pueden ignorar:
🔹 Robo de bases de datos – Si un hacker logra entrar a un sitio, también puede acceder a información sensible, desde datos personales hasta registros financieros o documentos confidenciales.
🔹 Difusión de malware – Los atacantes pueden modificar estos sitios para infectar a quienes los visitan con virus, ransomware o troyanos que roben información.
🔹 Desinformación y manipulación – Un portal oficial hackeado podría ser usado para publicar noticias falsas o mensajes que generen caos y confusión.
🔹 Acceso persistente – Muchos hackers dejan puertas traseras abiertas, lo que significa que pueden volver a entrar cuando quieran, sin que los administradores del sitio lo detecten.
Los sitios web del gobierno mexicano han sido vulnerables por años, y estos ataques recientes solo confirman que la ciberseguridad sigue sin ser una prioridad. Hasta ahora, las autoridades no han dado ninguna declaración oficial sobre estos hackeos, pero los expertos siguen analizando el impacto y el riesgo de que más sitios sean comprometidos en los próximos días.