El 11 de noviembre de 2025, un misterioso grupo llamado Tekir APT apareció en foros de la dark web y redes sociales asegurando haber hackeado a la Fiscalía General del Estado de Guanajuato (FGEG). Según su versión, habían cifrado los sistemas internos de la institución y robado 250 gigabytes de información sensible, incluyendo expedientes judiciales, identificaciones personales y bases de datos confidenciales.
A simple vista, parecía otro caso más de ransomware: datos robados, operaciones suspendidas y amenazas de filtración si no se pagaba un rescate. Pero cuando los investigadores comenzaron a revisar las supuestas pruebas, algo no cuadraba.
De acuerdo con publicaciones atribuidas a Tekir APT, el ataque habría comenzado el 8 de noviembre, provocando una interrupción total de las operaciones de la fiscalía. Los empleados, según la narrativa difundida, fueron obligados a trabajar manualmente, mientras los ciberdelincuentes exigían un rescate antes del 20 de noviembre.
Sin embargo, al analizar las evidencias disponibles, los expertos en ciberseguridad descubrieron inconsistencias importantes: los sistemas de la fiscalía seguían funcionando con normalidad, no existían registros de interrupciones operativas graves y ningún otro organismo confirmó la autenticidad del ataque.
Toda la historia provino de una sola fuente: Hackmanac, una empresa internacional dedicada al monitoreo de ciberamenazas. En su cuenta de X (antes Twitter), @H4ckmanac, publicaron capturas de pantalla supuestamente obtenidas de la dark web, junto con un enlace onion (accesible solo a través de Tor) donde, según ellos, se alojaban los datos robados.
El problema es que esas pruebas no fueron verificadas por ninguna otra compañía o medio especializado. Peor aún: Hackmanac indicó que los detalles completos del ataque solo estaban disponibles a través de su servicio de suscripción Hackrisk.io, al que solo se puede acceder pagando.
A partir de ahí, la historia se propagó sin control. Medios digitales, cuentas de ciberseguridad en redes y hasta herramientas de inteligencia artificial comenzaron a repetir la versión de Hackmanac sin validarla.
Lee más: 3000 Videos de YouTube Utilizados para Propagar Malware
Para comprender qué tan real era la amenaza, la unidad de investigación de SILIKN, dirigida por el experto Víctor Ruiz, realizó una búsqueda exhaustiva en las principales bases de datos de inteligencia cibernética, como:
El resultado fue contundente: Tekir APT no aparece en ninguno de estos registros. Tampoco hay rastros de su actividad en foros clandestinos de la dark web como Dread, XSS, BreachForums o Exploit.in, donde los grupos de ransomware suelen anunciar filtraciones o compartir herramientas.
Mientras bandas reales como LockBit, Clop o Medusa mantienen sitios activos con pruebas verificables de sus ataques, Tekir APT no tiene presencia documentada ni histórica. Todo indica que podría tratarse de un grupo inventado o, en el mejor de los casos, de un intento de estafa informativa.
Uno de los aspectos más preocupantes de este caso es cómo la historia de Tekir APT se convirtió en “verdad” gracias a la repetición mediática y a los sistemas de inteligencia artificial.
Herramientas como ChatGPT, Grok o Perplexity comenzaron a responder consultas afirmando que Tekir APT había ejecutado un ataque real contra la Fiscalía de Guanajuato. Pero al revisar las fuentes citadas, todas provenían de los mismos artículos derivados de Hackmanac.
Es decir, la IA citaba medios que, a su vez, citaban a la IA, generando un ciclo de desinformación donde la noticia se reforzaba a sí misma sin ninguna evidencia real.
Este fenómeno demuestra cómo la inteligencia artificial, sin supervisión humana, puede amplificar narrativas falsas hasta el punto de darles legitimidad.
Las inconsistencias van más allá de la falta de evidencia. Algunos observadores señalan que el caso podría ser una distracción o una maniobra interna.
Varios empleados denunciaron que la Fiscalía no suspendió operaciones ni sufrió pérdida de datos. De hecho, algunos departamentos continuaron trabajando en línea durante los días en que supuestamente los sistemas estaban cifrados.
Otros sugieren que el supuesto ransomware podría haber sido una excusa para ocultar manipulación o eliminación de información sensible. Si fuera cierto, presentar el incidente como un “ataque externo” podría servir para evitar auditorías o rendición de cuentas ante casos delicados.
Sin una postura técnica oficial, el panorama sigue siendo confuso. Hasta ahora, la Fiscalía de Guanajuato no ha publicado un informe detallado ni pruebas forenses del ataque, algo que sería obligatorio en un incidente de este nivel.
Más allá del misterio de Tekir APT, este episodio deja una lección importante: la necesidad urgente de periodismo de investigación y análisis independiente en temas de ciberseguridad.
Muchos medios publican información sin verificación, guiados por la presión de ser los primeros en informar. Y cuando las fuentes primarias son empresas que ofrecen suscripción a cambio de “acceso exclusivo” a los datos, el conflicto de interés es evidente.
La ciberseguridad no se trata solo de proteger sistemas, sino también de proteger la verdad. Cuando la información se replica sin sustento, se crea un entorno de desconfianza que beneficia precisamente a los actores maliciosos.
También podría interesarte: “Toque Fantasma”: Nuevo Fraude que Roba Pagos Sin Contacto en Segundos
En resumen, la historia del “hackeo” parece sostenerse más en la especulación que en los hechos.
En TecnetOne creemos que los ciberataques reales no solo deben prevenirse, sino también investigarse con transparencia y responsabilidad. Casos como el de Tekir APT muestran cómo la desinformación puede dañar tanto como un ataque genuino.
Si se difunden historias falsas o exageradas:
La clave está en mantener una comunicación clara, basada en evidencia y validada por expertos.
El misterio de Tekir APT es, en sí mismo, una advertencia. Hoy en día, cualquier grupo inventado puede convertirse en protagonista de un ataque inexistente.
¿Fue un hackeo real o una cortina de humo? Todavía no lo sabemos. Pero lo que sí está claro es que la ciberseguridad no solo se defiende con firewalls, sino también con pensamiento crítico y intransigencia informativa.
Mientras no haya pruebas técnicas ni confirmaciones oficiales, Tekir APT seguirá siendo, al menos por ahora, un fantasma digital.