Ransomware Lyrix pone en Riesgo Dependencias del Gobierno Mexicano

Una nueva amenaza digital está rondando a las instituciones públicas de México: se trata de una cepa de ransomware llamada Lyrix, que podría afectar a más de mil oficinas gubernamentales en todo el país. Esta variante fue diseñada específicamente para atacar computadoras con Windows, y tiene el potencial de poner en jaque a organismos clave del sector público.

¿Qué instituciones se encuentran en riesgo?

Hasta ahora, se ha identificado que al menos 1,033 dependencias podrían estar en riesgo debido a fallas críticas en sus sistemas. Y no se trata de entidades menores: hay instituciones importantes que manejan datos sensibles o brindan servicios fundamentales para la ciudadanía. Aquí van algunos ejemplos:

1. SAT, especialmente en su sistema de verificación de facturas electrónicas.

2. El Portal Tributario del Estado de Hidalgo.

3. La Comisión Nacional del Agua.

4. El Canal del Congreso.

5. Gobiernos estatales y municipales como el de Aguascalientes.

6. El INFONAVIT.

7. El Instituto Nacional del Derecho de Autor.

8. La Autoridad Certificadora del Gobierno de Guerrero.

9. El Congreso del Estado de Jalisco, específicamente su junta de agua potable.

10. El programa de crédito educativo en Baja California.

11. El sistema de captura de inmuebles escolares en Jalisco.

12. Organismos de agua potable en Puebla, Sinaloa y otras regiones.

13. La Administración Fiscal del Estado de Coahuila.

14. La Dirección de Juicios Laborales del Gobierno de Chihuahua.

15. Y el Consejo de Ciencia y Tecnología de Tabasco, entre otros.

Todas estas instituciones, por el tipo de datos que manejan (desde información fiscal, derechos de autor, vivienda o educación) son un blanco jugoso para los ciberdelincuentes. El objetivo es claro: cifrar la información, bloquear el acceso y luego exigir un rescate a cambio de liberarla.

¿Qué es el ransomware Lyrix y cómo ataca?

Lyrix es un tipo de malware que, como otros ransomware, secuestra tu información y pide un rescate para devolverla. Lo curioso (y preocupante) de este en particular es que fue creado usando Python, un lenguaje de programación muy versátil. Luego lo “empaquetaron” con una herramienta llamada PyInstaller, lo que básicamente le permite funcionar sin problemas en computadoras con Windows, como si fuera cualquier programa más.

Una vez que logra meterse en una red o sistema, Lyrix empieza a hacer su trabajo: explora todo, busca archivos importantes y los bloquea usando cifrado súper fuerte (AES-256 y RSA-2048, por si te suenan). ¿Qué significa eso? Que nadie puede abrir esos archivos sin una clave especial que, claro, solo tienen los atacantes. Es como si pusieran tu información en una caja fuerte indestructible... y se quedaran con la llave.

Pero eso no es todo. Lyrix también es camaleónico: cambia su código constantemente para no ser detectado por los antivirus tradicionales. Esta técnica, llamada código polimórfico, hace que sea muy difícil identificarlo con métodos de seguridad comunes, ya que no deja una “huella” fija.

Nota de rescate de ransomware Lyrix

Cuando Lyrix termina de cifrar los archivos, les cambia la extensión (como si los renombrara) y deja una especie de nota de rescate en la computadora. En esa nota, los atacantes exigen el pago (usualmente en criptomonedas) para "devolver" el acceso a tus propios datos.

Pero no se trata solo de pedir dinero. Para meter presión, amenazan con borrar todo para siempre o incluso hacer pública la información si no se paga en un plazo determinado. Como si eso fuera poco, Lyrix también borra las copias de seguridad si las detecta, lo que deja a las víctimas sin otra salida más que considerar pagar.

¿Qué lo hace tan peligroso?

Estas son algunas de las técnicas que usa:

1. Cifrado súper fuerte (AES-256 y RSA-2048), casi imposible de romper.

2. Elimina respaldos y puntos de restauración del sistema, para que no puedas recuperarte fácilmente.

3. Cambia su código todo el tiempo (técnica llamada polimorfismo) para que los antivirus no lo detecten.

4. Se conecta con los atacantes a través de la red Tor, una red anónima que hace muy difícil rastrearlo.

En resumen: Lyrix no solo bloquea tus archivos, te deja sin plan B y sin tiempo para reaccionar.

Conoce más sobre: Comparativa entre las Principales Soluciones de Respaldo 2025

¿Cómo protegerse de Lyrix?

Si algo deja claro este tipo de amenazas es que ya no basta con tener “un buen antivirus”. Tanto organizaciones públicas como privadas tienen que tomarse en serio la ciberseguridad y reforzar su defensa digital desde todos los frentes. ¿Cómo hacerlo? Aquí algunas recomendaciones clave:

1. Mantén todo actualizado: sistemas operativos, programas y parches de seguridad. Muchos ataques aprovechan fallas que ya tienen solución… pero que nadie instala.

2. Capacita a tu equipo: muchas veces el “clic equivocado” en un correo de phishing es la puerta de entrada. Que todos sepan cómo detectar engaños es clave.

3. Usa soluciones de seguridad avanzadas: especialmente herramientas que analicen el comportamiento de los dispositivos, no solo lo que “parece” sospechoso. En TecnetOne, contamos con un Centro de Operaciones de Seguridad (SOC) que está activo 24/7, monitoreando, analizando y respondiendo ante posibles amenazas en tiempo real. Esto nos permite actuar antes de que el ataque se propague y brindar una protección mucho más efectiva a nuestros clientes.

4. Haz respaldos inteligentes y seguros: no basta con guardar una copia “en el mismo servidor” o en una carpeta de red. Soluciones como TecnetProtect Backup te permiten automatizar respaldos, almacenarlos fuera del sistema principal y, además, tener protección antiransomware integrada. También puedes gestionar endpoints desde una misma consola, lo que simplifica muchísimo la administración de seguridad, especialmente si tienes muchos equipos o sedes.
   
   

5. Ten un plan de emergencia: si algo falla, saber cómo reaccionar rápido puede marcar la diferencia entre un susto y una catástrofe.

Lyrix es solo una señal más de que los ciberataques ya no son cosas de película. Son reales, sofisticados y cada vez más dirigidos. Por eso, la clave está en la prevención. Ser proactivos, no esperar a que ocurra el desastre. Porque cuando se trata de ransomware, más vale prevenir que pagar.