Una nueva campaña de fraude digital ha comenzado a tomar fuerza en México, y su nivel de sofisticación ha encendido las alertas entre expertos en ciberseguridad. Investigaciones recientes han detectado al menos una docena de sitios web que simulan ser la página oficial para agendar citas de pasaporte, todos con un diseño idéntico, comportamiento automatizado y dominios sospechosos registrados apenas en abril de 2025. Lo más alarmante es que estos sitios apócrifos están validando CURPs en tiempo real, lo que les permite acceder a datos personales reales y legítimos de los usuarios.
Este avance marca un punto de inflexión en la evolución del fraude digital: por primera vez, los atacantes automatizan la verificación de identidades directamente contra plataformas oficiales, lo que les da acceso a información sensible sin levantar sospechas inmediatas.
La Clave Única de Registro de Población (CURP), pensada para proteger y facilitar los trámites ciudadanos, está siendo explotada como una puerta de entrada para construir documentos falsos pero convincentes, como pasaportes. Más allá del robo de identidad individual, este tipo de operaciones plantea serios desafíos a la seguridad nacional y evidencia vulnerabilidades urgentes de atender.
Lo que hace especialmente peligroso este fraude es que, a diferencia de otros fraudes más fáciles de detectar donde con solo poner una CURP con el formato correcto ya te dejan seguir, aquí los sitios falsos verifican si esa CURP existe realmente. Y no solo eso: te muestran el nombre completo, sexo, fecha y lugar de nacimiento tal cual aparecen en los registros oficiales.
Esto deja claro que los atacantes están usando una base de datos real (o robada) con información legítima, probablemente filtrada en el pasado, y la conectaron a su sistema para validar datos al momento. El resultado es una estafa mucho más convincente: cuando el sistema “reconoce” tus datos con precisión, es fácil caer y pensar que todo es legal.
Podría interesarte leer: LockBit Cumple Amenaza y Filtra Nóminas, CURP y Contratos en México
Todo empieza cuando la persona entra a un sitio que luce exactamente igual al de la Secretaría de Relaciones Exteriores (SRE). A simple vista, parece legítimo: mismo diseño, mismos colores, mismos botones. Una vez ahí, el sistema le pide al usuario que ingrese su CURP.
Si la CURP existe, el sitio muestra de inmediato los datos personales reales: nombre, fecha de nacimiento, lugar de origen… todo correcto. Eso genera confianza. Después, la página permite agendar una supuesta cita para sacar el pasaporte, y aquí viene la trampa: piden un pago de $2,350 pesos, que puede hacerse por transferencia SPEI o en tiendas OXXO.
Una vez que la persona paga, el sitio solicita que suba el comprobante y, a cambio, entrega un folio falso. ¿El problema? La cita nunca llega, el dinero se pierde y los datos personales ya están en manos de los estafadores.
Estos son algunos de los dominios que se han detectado como parte de esta campaña:
pasaporte-citasgobmx.online
pasaporte-citasgobmx.info
pasaporte-citasgobmx.org
pasaportemexicanocitasgobmx.com
pasaportemexicano-citasgobmx.site
Y hay otros muy parecidos, con pequeñas variaciones pensadas para confundir a quien busca agendar su cita rápidamente. Recientemente, se descubrió otro fraude donde robaban datos de tarjetas, según el banco del usuario (como BBVA, Santander o Banorte). Pero lo que está pasando con esta nueva campaña es distinto: no buscan tus tarjetas, sino tu confianza. La trampa está en que engañan a personas que solo quieren sacar su pasaporte, les cobran por un trámite que no existe y, de paso, se quedan con sus datos personales.
Conoce más sobre: Estafa de Citas Falsas de SRE apunta a Clientes de Bancos en México
Pero el fraude no termina con una página falsa y ya. Los estafadores están optimizando sus sitios para aparecer en Google como si fueran páginas oficiales. Usan técnicas de SEO, agregan descripciones y palabras clave como "reserva tu cita oficial para pasaporte mexicano" para que, cuando alguien busque en internet cómo sacar su pasaporte, caiga directo en sus redes.
Todo está pensado: desde el diseño de la página hasta su aparición en buscadores. Es una mezcla de ingeniería social con posicionamiento digital, y eso lo hace aún más peligroso, porque cualquiera podría caer con solo hacer una búsqueda rápida.
La validación de CURP en tiempo real por parte de redes fraudulentas representa un salto alarmante en la forma en que operan los cibercriminales en México. Ya no se trata solo de páginas falsas o fraudes evidentes; ahora hablamos de sistemas automatizados, con acceso a bases de datos reales, diseñados para engañar incluso al usuario más precavido.
Más allá de la reacción institucional necesaria, este tipo de amenazas subraya la urgente necesidad de fomentar una cultura de ciberseguridad entre los ciudadanos. Identificar un sitio falso, desconfiar de solicitudes de pago inusuales y verificar siempre que los dominios sean oficiales debería formar parte del conocimiento básico digital de todos.
La prevención empieza con la información. Por eso es clave seguir hablando del tema, compartir estas alertas y educar a más personas sobre cómo reconocer señales de fraude digital. Entre todos, podemos construir una red más consciente, más segura y mucho menos vulnerable.