Una vulnerabilidad bastante seria en un sitio web del gobierno mexicano fue puesta a la venta en un foro clandestino... ¡por solo 300 dólares! Lo preocupante es que este fallo, del tipo RCE (Remote Code Execution), le daría a cualquier comprador el poder de ejecutar comandos directamente en el servidor, como si estuviera usando la computadora del propio gobierno.
La publicación fue hecha por un usuario que se hace llamar “Stephanie”, conocido en estos espacios de compraventa ilegal de accesos. Según explicó, encontró el fallo en 2025 y asegura que puede controlar remotamente un servidor que opera bajo el dominio .gob.mx.
Para demostrar que no estaba mintiendo, compartió varias capturas de pantalla con comandos reales ejecutados en el sistema: desde la lista de usuarios, espacio disponible en el disco, hasta archivos internos del servidor. En resumen, una puerta abierta a uno de los sistemas más importantes del país.
Las capturas que compartió la persona que está vendiendo el acceso muestran una sesión real de control remoto del servidor, con comandos bastante técnicos como id, df -h, free -h y cat /etc/passwd. Para quienes no están familiarizados, estos comandos permiten ver información clave del sistema, como qué usuarios están registrados, cuánto espacio en disco hay disponible o cuánta memoria tiene la máquina. En este caso, el servidor tiene más de 125 GB de RAM y 6.2 TB de almacenamiento, lo que deja claro que no es una maqueta ni un entorno de pruebas, sino un sistema en plena operación.
Todo apunta a que se trata de un servidor Linux, probablemente gestionado con cPanel, ya que las rutas de carpetas y los nombres de usuarios coinciden con ese tipo de configuración. Además, en las pruebas se muestran accesos a directorios de subdominios oficiales, como “tramites.hidalgomich.gob.mx”, “respirahidalgo.gob.mx” y “declaranet.hidalgomich.gob.mx”. No es un solo sitio comprometido, sino varios servicios públicos interconectados.
Este tipo de vulnerabilidad (conocida como RCE, o ejecución remota de código) es una de las más peligrosas que existen. Básicamente, le da al atacante la capacidad de hacer lo que quiera dentro del servidor: leer y modificar archivos, borrar información, crear puertas traseras, instalar malware, o incluso usar esa máquina como punto de partida para meterse en otros sistemas del gobierno.
Expertos que han revisado las pruebas aseguran que todo parece muy legítimo. La infraestructura del servidor, los dominios involucrados y los datos filtrados coinciden con configuraciones reales. Aunque siempre existe la posibilidad de que algún detalle técnico quede en duda, lo cierto es que hay suficiente evidencia para considerar esto como un caso serio de seguridad.