Entre el 24 y 25 de marzo, al menos nueve sitios oficiales del gobierno de la Ciudad de México fueron hackeados. El responsable se hace llamar Drakonov, y su firma quedó registrada en Zone-H, una plataforma internacional que documenta ataques a sitios web con evidencia técnica verificada. También fue confirmado por la firma especializada TPX Security. Aunque ya pasó algo de tiempo, la mayoría de esos portales siguen caídos, mostrando mensajes como “En construcción” o simplemente sin cargar, lo que indica que el proceso de recuperación no ha terminado.
Este tipo de ataques, conocidos como defacement, van más allá de solo “pintarrajear” una página: evidencian fallas serias en la seguridad digital del gobierno y de paso, siembran dudas entre la ciudadanía. ¿Qué tan seguros están nuestros datos? ¿Quién vigila que esto no vuelva a pasar? ¿Y qué se puede hacer realmente ante algo así?
Entre los sitios que fueron hackeados está plangobiernoabierto.cdmx.gob.mx, que, irónicamente, es el portal del Plan de Gobierno Abierto de la CDMX, una iniciativa que busca más transparencia y participación ciudadana. También cayeron otros subdominios como proyectos.metro.cdmx.gob.mx, donde se publican los proyectos del Metro, y juzgados-civicos.cdmx.gob.mx, una página usada para consultar temas relacionados con infracciones, audiencias rápidas y faltas administrativas.
En todos los casos apareció la misma “firma”: una imagen de una calavera con capucha y un mensaje en portugués que decía: “Hackeando apenas por diversão, devagar e sempre”, que en español sería algo así como “Hackeando solo por diversión, lento pero constante”. El ataque fue atribuido a Drakonov, quien no solo se adjudicó la acción en redes sociales, sino que ya tiene historial haciendo cosas parecidas en sitios del gobierno, tanto en México como en Argentina.
Zone-H y TPX Security confirmaron el ataque como parte de una campaña activa.
¿Fue real el hackeo?
Aunque en otros casos las autoridades han intentado minimizar o incluso negar ataques similares, esta vez hay evidencia clara y verificable. Los sitios alterados quedaron registrados en Zone-H, una base de datos reconocida a nivel internacional que desde hace más de 20 años documenta este tipo de incidentes con pruebas técnicas, como capturas de pantalla y “mirrors” certificados.
Por otro lado, la firma TPX Security, también confirmó el ataque. Según su análisis, lo de Drakonov no fue algo aislado, sino parte de una campaña dirigida específicamente contra instituciones del gobierno. De hecho, aseguran que este tipo de actividad empezó en mayo de 2024 y sigue activa. El ataque más reciente fue clasificado como un defacement y afectó portales ligados al gobierno y hasta al sector militar, todos con dominios mexicanos.
Fallas en los portales del gobierno
No es la primera vez que se señala que los sitios web del gobierno de la Ciudad de México tienen fallas graves. Desde hace tiempo, varios especialistas en ciberseguridad han venido advirtiendo que la infraestructura digital presenta errores técnicos importantes, sobre todo en cómo están configurados los servidores y en la cantidad de servicios innecesarios que siguen expuestos.
Por ejemplo, en una revisión a fondo del dominio cdmx.gob.mx, se detectaron más de 160 puertos abiertos. Esto es un gran problema porque cada puerto es como una puerta de entrada, y si no está bien protegida, cualquier atacante puede intentar entrar por ahí. Dejar tantos puertos abiertos sin una razón clara no solo es una mala práctica, sino que aumenta el riesgo de que alguien encuentre una vulnerabilidad y la aproveche para lanzar un ataque.
Muchos de esos puertos están relacionados con servicios que ya tienen antecedentes de fallos de seguridad. Si no se han actualizado o cerrado correctamente, se convierten en blancos fáciles. Además, los hackers pueden escanear esos puertos en segundos y obtener información clave para preparar un ataque más complejo.
Uno de los riesgos más comunes cuando hay este tipo de exposición es sufrir un ataque DDoS (denegación de servicio distribuida), donde los atacantes saturan el sistema con tráfico falso hasta que lo hacen colapsar. Es decir, no solo pueden entrar, también pueden tirar el sitio por completo.
Podría interesarte leer: Protege tu Red: Cómo Cerrar Puertos Abiertos y Evitar Amenazas
¿Quién es Drakonov y por qué deberíamos ponerle atención?
Drakonov es un hacker que ha estado bastante activo desde mayo de 2024. Hasta ahora, se le atribuyen al menos 31 ataques tipo defacement. Sus blancos han sido casi exclusivamente instituciones públicas en México y Argentina, y siempre deja la misma firma visual, lo que ha hecho fácil seguirle la pista.
De acuerdo con los registros de Zone-H y la firma TPX Security, sus objetivos han sido únicamente sitios gubernamentales. Eso da una pista clara: sabe lo que hace y va directo por portales oficiales, probablemente porque sabe que ahí hay menos protección de la que debería.
Hasta el momento, no hay evidencia de que haya robado datos o secuestrado información, pero eso no significa que el problema sea menor. Un defacement es una señal clara de que alguien entró sin permiso. Como dicen algunos expertos, es como si alguien se metiera a un edificio público solo para grafitear una pared. No se llevó nada, pero demostró que la puerta estaba abierta.
Podría interesarte leer: Hacker Expone Datos Bancarios de App Mexicana Rechazada en Shark Tank
¿Qué sitios fueron afectados?
Según los reportes, Drakonov logró modificar o comprometer varios subdominios del gobierno de la CDMX. Algunos de los que se vieron afectados son:
-
plangobiernoabierto.cdmx.gob.mx, el portal de transparencia y participación ciudadana
-
placasmovilidad.cdmx.gob.mx, relacionado con trámites de placas y movilidad
-
proyectos.metro.cdmx.gob.mx, donde se muestran los planes del Metro
-
registros.acelerometricos.cdmx.gob.mx, sobre monitoreo sísmico
-
rivcm.semujeres.cdmx.gob.mx, vinculado a programas de atención a mujeres
-
siife.ilife.cdmx.gob.mx, de información educativa
-
juzgados-civicos.cdmx.gob.mx, donde se consultan faltas administrativas
-
centroenlinea.cdmx.gob.mx/promos/pwn.html, una URL modificada con contenido alterado
-
tianguisdigital.mb.cdmx.gob.mx, relacionado con compras y servicios públicos
