Tekir APT: Evidencias Apuntan a Insiders Mexicanos en La FGEG

En los últimos días comenzó a circular una historia que llamó la atención de medios, analistas e incluso herramientas de inteligencia artificial: un supuesto grupo turco llamado Tekir APT habría vulnerado la infraestructura crítica de la Fiscalía General del Estado de Guanajuato (FGE Guanajuato), exfiltrando más de 250 GB de información sensible.

A simple vista, el caso se presentó como una operación extranjera sofisticada. Sin embargo, cuando revisas la evidencia técnica, el comportamiento de los atacantes y hasta los detalles lingüísticos del comunicado, el panorama cambia por completo. Desde TecnetOne vemos claras señales de que este ataque no tiene nada que ver con Turquía y mucho con México.

Todo apunta a lo mismo: insiders mexicanos, o al menos actores locales con acceso interno, disfrazando la operación bajo un nombre exótico para despistar.

¿Qué se supone que hizo “Tekir APT”?

El grupo afirma haber robado:

1. Expedientes judiciales completos
   
   
2. Bases de datos SQL
   
   
3. Credenciales administrativas
   
   
4. Grabaciones municipales
   
   
5. Comunicaciones internas
   
   
6. Archivos sensibles de diversas unidades

Aseguraron haber exfiltrado más de 250 GB de datos, algo que difícilmente lograría un atacante externo sin un acceso privilegiado y sostenido. Además, insistieron una y otra vez en que “no son insiders”… lo cual, irónicamente, es una de las señales más claras de que sí lo eran.

La evidencia técnica: demasiado acceso para ser externo

Las capturas de pantalla que compartió “Tekir APT” muestran:

1. Paneles internos de la FGE
   
   
2. Vistas directas de bases de datos judiciales
   
   
3. Registros institucionales no accesibles desde el exterior
   
   
4. Infraestructura crítica navegada desde dentro del dominio

Para exfiltrar 250 GB sin activar alertas, sin saturar conexiones y sin bloquear servicios, necesitas algo más que un exploit remoto: necesitas credenciales internas, accesos de confianza o una contraseña compartida por empleados.

Aquí es donde surge otro detalle alarmante: algunas contraseñas internas eran literalmente “12345678” y “123456789”.

Sí, así como lo lees. En pleno 2025.

Eso, más que un ataque APT turco, suena a alguien dentro de la institución aprovechando una infraestructura pobremente protegida.

Conoce más: ¿El Gobierno Mexicano Está Siendo Hackeado por sus Propios Empleados?

Un sitio en la dark web que no funciona: comportamiento extraño para una APT

Los atacantes dijeron que publicarían la información en un sitio alojado en Tor. Pero ese sitio:

1. Nunca funcionó
   
   
2. No tuvo espejos
   
   
3. No tuvo fallback
   
   
4. No mostró actividad real
   
   
5. No siguió las prácticas estándar de grupos de ransomware o filtración

Esto es atípico para actores profesionales. Grupos como LockBit, Medusa, Black Basta o incluso colectivos latinoamericanos como Guacamaya siempre mantienen sistemas redundantes para publicar datos. Tekir no.

Un grupo turco con motivaciones reales habría tenido infraestructura sólida, repositorios previos y rutas de comunicación claras. Tekir APT no tiene nada de eso.

El análisis OSINT: simplemente no existen

Cuando rastreas el alias en plataformas de inteligencia de amenazas, sucede algo muy interesante:

Tekir APT no aparece en ninguna parte.

No está en:

1. Foros clandestinos (Dread, XSS, Exploit, BreachForums)
   
   
2. Bases de ransomware (Ransomlook, Ransomfeed, LiveRansomware)
   
   
3. Repositorios de APTs (MITRE, Group IB, Recorded Future, CrowdStrike)
   
   
4. OSINT de Turquía (incluyendo Turkish Hack Team o Ayyildiz Tim)

No existe historial, reputación, actividad previa ni estructura. Es como si el nombre hubiera sido inventado la misma semana del ataque.

Eso no pasa con grupos internacionales reales. Pero sí pasa cuando un actor local quiere crear una cortina de humo.

El análisis lingüístico: errores que delatan origen mexicano

El comunicado publicado por “Tekir APT” está en inglés, pero contiene errores que no coinciden con hablantes turcos. Por el contrario, coinciden con traducciones literales desde el español de México.

Ejemplos:

1. “We stealed” (calco de “nos robamos”)
   
   
2. Frases literales del español como “there’s no other explanation”
   
   
3. Sarcasmo mexicano: “Don’t be funny, kids”
   
   
4. Humor “tierno” irónico: “We are cute kitties”

Ninguno de estos patrones coincide con:

1. La sintaxis turca
   
   
2. El tipo de errores comunes en hablantes turcos
   
   
3. La narrativa nacionalista tradicional de grupos cibercriminales de Turquía

Sí coinciden, en cambio, con colectivos mexicanos que se han autodefinido como “anticorrupción”, con estilo irreverente y tono burlón, muy similar a lo que se vio antes con grupos como Lapsus$ (rama mexicana).

¿Qué habrían dicho originalmente en español?

La estructura, humor y tono sugieren que el texto original quizá era algo así:

“Los datos que robamos incluyen todos los expedientes penales de la Fiscalía, datos personales de funcionarios, grabaciones municipales y todas las bases SQL. Las autoridades lo negaron todo. No hay de otra: esto beneficia a alguien dentro del gobierno. No hay explicación para contraseñas como 12345678 o que VEEAM y Security Center estén en el mismo dominio. Si hubieran cooperado, habríamos borrado todo. Somos gatitos lindos.”

Este estilo es típicamente mexicano, no turco.

Títulos similares: México: ¿Futuro Laboratorio de Pruebas de Ransomware?

Comparación con grupos reales: dónde encaja Tekir realmente

Cuando comparas el caso con actores conocidos:

1. Similitud con Guacamaya → baja
   
   
2. Similitud con LockBit → mínima
   
   
3. Similitud con Lapsus$ (versión mexicana) → muy alta
   
   
4. Similitud con insiders mexicanos → extremadamente alta

Además, los patrones del ataque se parecen más a:

1. Filtraciones desde adentro
   
   
2. Accesos administrativos mal protegidos
   
   
3. Negligencia institucional
   
   
4. Incluso disputas internas entre áreas de gobierno

En contraste, no hay indicios de motivación geopolítica, bandera turca o narrativa propia de actores de esa región.

¿Por qué fingir ser una APT turca?

Hay tres razones claras:

1. Para desviar la atención de un conflicto interno
   Si la filtración beneficia a un grupo dentro de la misma institución, fingir un ataque externo es la coartada perfecta.
   
   
2. Para evitar represalias directas
   Un ataque “internacional” es más difícil de rastrear.
   
   
3. Para generar mayor impacto mediático
   Suena más fuerte decir “APT turca” que “empleados molestos”.

Conclusión: el ataque fue real, pero no vino de Turquía

Después de analizar:

1. La evidencia técnica
   
   
2. El acceso privilegiado
   
   
3. El comportamiento inusual del sitio en Tor
   
   
4. La falta total de historial OSINT
   
   
5. El estilo lingüístico
   
   
6. El contexto institucional mexicano

Todo apunta a lo mismo: el ataque sí ocurrió, pero lo ejecutaron actores mexicanos con acceso interno, no un grupo turco profesional.

El nombre “Tekir APT” fue apenas un disfraz. Y la insistencia de que “no eran insiders"  es precisamente lo que más los delata.

Este caso deja claro un punto clave que en TecnetOne repetimos siempre: el enemigo no siempre está afuera. A veces, está sentado dentro del sistema.