Un supuesto hackeo en el JMAPA terminó con el robo de más de 40 millones de pesos, y los expertos creen que pudo haber sido un ataque interno. El pasado 18 de marzo de 2025, la Junta Municipal de Agua Potable y Alcantarillado de San Felipe, Guanajuato (JMAPA), fue blanco de un presunto ciberataque que resultó en varias transferencias bancarias sospechosas. Este incidente no solo ha puesto en jaque la seguridad digital en instituciones públicas mexicanas, sino que también ha generado dudas sobre si empleados con acceso privilegiado podrían haber estado involucrados en el fraude.
¿Ataque externo o ataque interno?
Todo apunta a que el millonario robo en JMAPA podría haber sido un ataque interno más que un hackeo desde fuera. Alguien con acceso a información clave logró obtener los datos de las cuentas bancarias y realizó varias transferencias sin levantar sospechas de inmediato.
Se sabe que hubo al menos 16 movimientos bancarios, cada uno por montos que iban de 2 a 5 millones de pesos. Este patrón sugiere que quien estuvo detrás del fraude tenía acceso legítimo a los sistemas financieros de JMAPA, lo que habría facilitado que las transacciones pasaran desapercibidas.
En estos casos, no siempre es necesario suplantar una identidad. Si alguien ya cuenta con las credenciales, contraseñas o tokens correctos, el sistema simplemente reconoce al usuario como alguien autorizado, permitiendo que las operaciones se realicen sin mayor obstáculo.
Además, se reportó el despido de algunos directivos, lo que alimenta la teoría de que el responsable podría haber actuado en complicidad con personas dentro de la propia organización. Todo esto refuerza la idea de que el robo fue planeado desde adentro.
Podría interesarte leer: ¿Qué son las Amenazas Internas en Ciberseguridad?
Graves fallos de seguridad en el sitio web de JMAPA
El problema en JMAPA va más allá del robo millonario. Su sitio web oficial (https://sitio.jmapa.mx/) presenta serias vulnerabilidades que lo dejan expuesto a ciberataques. Un análisis reciente reveló varios puntos críticos en su seguridad:
- Uso de protocolos obsoletos como TLS 1.0 y 1.1, lo que facilita que las comunicaciones sean interceptadas.
- Carga de JavaScript desde dominios externos sin control, lo que abre la puerta a que se ejecute código malicioso en el sitio.
- Falta de cabeceras de seguridad esenciales, como Content Security Policy (CSP), X-Content-Type-Options y Anti-clickjacking, que protegen contra ataques como Cross-Site Scripting (XSS) y Clickjacking.
Estas fallas no solo ponen en riesgo la información del sistema, sino que también podrían facilitar un ataque desde adentro. Por ejemplo, un trabajador con acceso interno podría interceptar datos aprovechando los protocolos obsoletos, insertar scripts maliciosos o manipular la interfaz del sitio para engañar a otros usuarios.
Un problema común en dependencias mexicanas
El caso de JMAPA no es único. Muchas otras instituciones de agua potable en México enfrentan problemas similares. Algunas vulnerabilidades detectadas recientemente incluyen:
- Junta de Agua Potable, Drenaje y Alcantarillado de Irapuato, Guanajuato: fallos en Windows Server.
- Sistema Operador de Agua Potable de Atlixco, Puebla: ataques de phishing en Microsoft 365 y fallos en Windows Server.
- Agua y Saneamiento de Toluca, Estado de México: vulnerabilidades en Microsoft Office y WordPad sin actualizar.
- Organismo Operador de Cajeme, Sonora: problemas de seguridad en WordPress, Microsoft Office sin parches y ataques de phishing en Microsoft 365.
Este patrón muestra que muchas dependencias públicas siguen descuidando aspectos básicos de ciberseguridad, ya sea por falta de capacitación, ausencia de mantenimiento o incluso negligencia interna. Si no se toman medidas urgentes, estos organismos seguirán siendo un blanco fácil para los ciberdelincuentes.
Después del hackeo, el Ayuntamiento de San Felipe tomó cartas en el asunto: destituyó al consejo directivo de JMAPA y presentó una denuncia ante la Fiscalía General del Estado de Guanajuato. Sin embargo, todavía no está claro si el dinero podrá recuperarse ni si ya hay sospechosos identificados. Lo que sí está claro es que la falta de una ley integral de ciberseguridad en México complica este tipo de investigaciones y deja a muchas instituciones expuestas a ataques como este.
