Una red internacional de cibercriminales ha logrado infiltrar la infraestructura digital de instituciones públicas mexicanas, incluyendo sitios web del gobierno y de universidades, para operar una estafa de apuestas en línea a gran escala. En menos de dos meses, han creado al menos 20 dominios dirigidos al público mexicano, ocultos dentro de páginas oficiales, que redireccionan automáticamente a plataformas de juegos ilegales como A7X y RBD 777. Estos sitios aparentan ser legítimos, incluso utilizando logotipos falsos de la Secretaría de Gobernación (Segob) para engañar a los usuarios y ganar su confianza.
Los atacantes secuestran servidores vulnerables, insertan código malicioso y manipulan los resultados de búsqueda en Google para que al escribir términos como “casino”, “blackjack” o “tragamonedas” junto al nombre de una institución, aparezcan enlaces activos o indexados que llevan directamente a estos casinos clandestinos. Lo más preocupante es que muchas de estas páginas aún pueden encontrarse en línea.
Que sitios gubernamentales sean utilizados para ocultar operaciones ilegales no solo representa una falla técnica, sino una amenaza seria para la confianza ciudadana, la integridad institucional y la seguridad digital nacional.
Una campaña masiva dirigida al público mexicano
Entre marzo y mayo de 2025, se detectó una oleada de sitios web sospechosos que compartían patrones muy similares: nombres que incluían combinaciones como “mx”, “97”, “g77” o “fun”. Algunos ejemplos son mxph97.com, mxg99.xyz, mxfun97.com y mxa7.com. Todos estos dominios llevaban al mismo destino: versiones clonadas del casino A7X, un sitio que aparenta ser legítimo y que ofrece bonos de bienvenida, retiros rápidos y premios diarios para atraer a los usuarios.
Lo inquietante es que todos estos dominios están alojados en la misma dirección IP: 104.18.16.172. En esa sola IP hay al menos 48 dominios activos, y la mayoría fueron registrados en apenas unas semanas, entre finales de marzo y principios de mayo. Además, se identificó otra IP vinculada, la 104.18.18.204, que aloja más de 200 dominios. Muchos tienen nombres que suenan genéricos o diseñados para parecer confiables, como p999.com, aaaawin.app, rbd777.bet y 888novo.com. Todos operan de forma parecida: redirigen a plataformas de apuestas ilegales, con la intención de engañar y captar a usuarios desprevenidos.
Uno de los casos más serios ocurrió en el sitio web del Centro Estatal de Información sobre Seguridad Pública (CEISP) de Yucatán. Ahí, los atacantes lograron secuestrar el dominio institucional y, peor aún, redirigir automáticamente cientos de subdominios a una página de apuestas ilegales. Todo indica que no solo metieron código malicioso, sino que incluso habrían tomado el control total del servidor.
Este no es un caso aislado. Sitios de otras instituciones también muestran señales de haber sido manipulados. Por ejemplo, el portal del Instituto Nacional de Antropología e Historia (INAH) presentó indicios de redirección encubierta, probablemente a través de una web shell (una puerta trasera digital que les da acceso continuo a los atacantes). Algo similar pasó con la página del Tribunal Electoral del Poder Judicial de la Federación (TEPJF), que también fue comprometida, aunque el problema ya fue corregido.
Y la lista sigue creciendo: se han identificado afectaciones en portales del Congreso de Colima, el municipio de Atlixco, la Coordinación de Protección Civil de Morelos, el Ayuntamiento de Guadalajara y hasta en el sitio del DIF nacional. Más allá del daño técnico, estos ataques representan un golpe fuerte a la reputación de las instituciones, pues son sitios donde la gente espera encontrar información confiable, no trampas digitales.
Conoce más sobre: Usuarios de macOS y Becas Benito Juárez en la Mira de los Hackers
Apuestas disfrazadas con logos oficiales
Los sitios clonados, como los de RBD 777 o A7X, están diseñados para parecer confiables a primera vista. Tienen un diseño visual muy pulido, pensado especialmente para verse bien en celulares, y lo más preocupante: incluyen sellos y logotipos falsos, como el escudo de la Secretaría de Gobernación, para dar la impresión de que todo es legal. Además, ofrecen supuestas recompensas solo por registrarte o descargar una app: “$300 pesos de regalo” o “retiros inmediatos”, todo suena demasiado bueno para ser verdad.
Detrás de todo esto hay un tipo de engaño cada vez más común conocido como estafa de diseño. Los atacantes no solo copian el contenido de una página legítima, sino que replican con precisión elementos de diseño y experiencia de usuario (UX/UI) para que la interfaz luzca casi idéntica a la de un sitio real. Tipografías, colores, botones, incluso animaciones o mensajes emergentes están cuidadosamente colocados para que el usuario no dude ni por un segundo que está en un entorno confiable. Esto hace que sea mucho más fácil caer en la trampa sin notar señales de alerta.
Para atraer a más víctimas, lanzan campañas en redes sociales como X (antes Twitter) y Facebook. Ahí, decenas de cuentas automatizadas comparten una y otra vez el mismo mensaje, cambiando solo el enlace, pero todos llevan a los mismos sitios de apuestas ilegales.
En algunos casos, los responsables incluso han reutilizado dominios viejos o certificados digitales que alguna vez fueron legítimos, con tal de parecer aún más creíbles. Por ejemplo, se detectó un subdominio de mx97.xyz que en 2019 tenía un certificado asociado a un supuesto sistema vinculado con BBVA, aunque ya no está activo. Todo está cuidadosamente montado para engañar.
Las universidades también han sido blanco del fraude
Este tipo de ataque no se ha limitado a sitios del gobierno. También se ha detectado en páginas con terminación .edu.mx, lo que significa que varias universidades mexicanas han sido afectadas. Entre ellas están el Instituto de Estudios Superiores de Zacatecas (IEZ), la Universidad Tecnológica de Querétaro (UTEQ) y otras instituciones donde, al revisar ciertos subdominios o enlaces modificados, aparecen contenidos relacionados con casinos como “Blackjack”, “Poker” o “Ruleta”.
En muchos casos, estas redirecciones solo se activan si el visitante entra desde un celular, ya sea Android o iPhone. Esto no es casualidad: los sitios están programados para detectar el tipo de dispositivo y solo redirigir en esos casos, lo que complica muchísimo que los administradores detecten el problema desde una computadora de escritorio.
Todo este esquema está diseñado para pasar desapercibido y escalar rápido. Por un lado, los responsables usan técnicas avanzadas de SEO (envenenamiento SEO) para que los sitios aparezcan bien posicionados en buscadores. Por otro, explotan fallas en los DNS, toman control de cuentas de redes sociales para difundir los enlaces, y hasta lanzan sistemas de referidos donde se promete una “recompensa” por compartir los sitios con otros usuarios. Todo con tal de generar tráfico y atraer más víctimas.
Se ha logrado rastrear más de 200 dominios alrededor del mundo conectados a esta red de fraude, muchos con nombres parecidos, plantillas visuales iguales o muy similares, y hasta certificados SSL que siguen los mismos patrones. En México, ya van al menos 20 dominios activos o recientemente creados, todos surgidos en apenas seis semanas.
Algunos de estos sitios incluso detectan desde qué país te estás conectando y, según tu ubicación, te redirigen a una versión diferente del casino falso. Eso deja claro que se trata de una operación organizada y segmentada, no de algo improvisado.
