Filtración masiva en Sonora: el caso ICATSON y la repetición de un patrón
125 mil registros expuestos del Instituto de Capacitación para el Trabajo de Sonora. Análisis del ataque, el modus operandi de Team-Chronus y por qué los estados siguen siendo blanco fácil.
El 9 de marzo de 2026, el Instituto de Capacitación para el Trabajo del Estado de Sonora (ICATSON) se sumó a la lista de instituciones mexicanas que han perdido el control de sus datos. Según reportes de la asociación Sonora Cibersegura, al menos 125,000 personas quedaron expuestas: estudiantes, instructores y personal administrativo.
La información filtrada incluye nombres completos, CURP, direcciones, números telefónicos y registros académicos. En algunos casos, también datos de seguridad social. Y lo más preocupante: no es la primera vez que Sonora aparece en este tipo de titulares.
El patrón de Team-Chronus
El grupo Team-Chronus ha sido señalado como responsable de múltiples filtraciones contra instituciones gubernamentales mexicanas. Su modus operandi no es sofisticado en términos de zero-days o exploits novedosos: se especializan en encontrar lo que ya está roto y nadie ha reparado.
Sus vectores de entrada más comunes:
- Servidores expuestos a internet con credenciales por defecto o contraseñas débiles
- Paneles administrativos (cPanel, phpMyAdmin, RDP) sin 2FA y con acceso público
- Aplicaciones legacy sin parches de seguridad desde hace años
- Reutilización de contraseñas entre sistemas internos
No están “hackeando el gobierno mexicano”. Están escaneando puertos abiertos en Shodan y probando credenciales filtradas de breaches anteriores.
Por qué Sonora sigue siendo blanco
ICATSON no es el primer caso en el estado. La lista previa incluye:
| Institución | Datos aprox. | Fecha reportada |
|---|---|---|
| Secretaría de Hacienda de Sonora | 40 GB | 2025 |
| Policía Municipal de Hermosillo | No confirmado | 2025 |
| DIF Sonora | No confirmado | 2025 |
| ICATSON | 125,000 registros | Marzo 2026 |
José Manuel Rendón, director de Sonora Cibersegura, lo resume bien: “La repetición de los incidentes sugiere que los protocolos de higiene digital no se están aplicando con el rigor necesario o que se cuenta con un presupuesto insuficiente para la ciberdefensa.”
La realidad es más técnica: muchas dependencias estatales contratan desarrolladores para armar sistemas web rápidos (php, mysql, WordPress mal configurado) y nunca contratan a alguien para revisar la seguridad de esos sistemas. Un año después, el servidor sigue expuesto, el admin sigue siendo admin/admin123, y nadie ha actualizado nada.
Qué significa tener tu CURP filtrado
El CURP es el identificador único de cada mexicano. A diferencia de un email o un teléfono, no lo puedes cambiar.
Con un CURP + nombre completo + dirección, un atacante puede:
- Suplantar tu identidad en trámites gubernamentales en línea
- Consultar tu historial crediticio si logran acceder a burós de crédito
- Realizar fraudes fiscales usando tu RFC derivado del CURP
- Acceder a servicios de salud (IMSS/ISSSTE) vía portales mal protegidos
El CURP no es un secreto — aparece en credenciales escolares, contratos, y documentos públicos. Pero combinado con dirección, teléfono y datos académicos, construye un perfil completo para ingeniería social o fraude de identidad.
Lo que no se está haciendo
La respuesta oficial típica después de una filtración en México es:
- Decir que “se están tomando medidas”
- Crear una comisión
- No hacer nada durante 6 meses
- Olvidarse hasta la siguiente filtración
Lo que debería pasar:
- Inventario de activos: saber qué servidores tienes expuestos a internet
- Hardening básico: 2FA en todo panel administrativo, contraseñas únicas, acceso por VPN
- Segmentación de red: los datos de 125,000 personas no deberían estar en el mismo servidor que el sitio web público
- Penetration testing anual contratado a terceros independientes
- Notificación real a afectados: no un comunicado de prensa, sino un email directo con pasos concretos
Qué hacer si estás en la filtración
Si fuiste estudiante, instructor o empleado del ICATSON:
- Activa alertas en buró de crédito (Buró de Crédito y Círculo de Crédito son gratuitas)
- Cambia contraseñas de cualquier cuenta que hayas usado con el correo institucional del ICATSON
- No confíes en llamadas que usen información específica del instituto para pedir dinero o datos
- Revisa tu RFC en el SAT periódicamente para detectar actividad sospechosa
- Considera un freeze crediticio si ves actividad anómala
Referencias
- Reporte de Sonora Cibersegura sobre filtración ICATSON, marzo 2026
- Filtración Secretaría de Hacienda Sonora (40 GB), 2025
- Incidentes previos: Policía Municipal Hermosillo, DIF Sonora
IOC
- Monitorear tu CURP en servicios de alerta de buró de crédito
- Revisar exposición de tu email en Have I Been Pwned