El especialista en ciberseguridad Ignacio Gómez Villaseñor lanzó una alerta por un presunto hackeo a los sistemas del Servicio de Administración Tributaria (SAT). Según su investigación, delincuentes digitales habrían robado información bancaria y fiscal correspondiente a 2025, la cual ahora circula en la dark web.
De acuerdo con el experto, al menos 120 mil facturas electrónicas (CFDI) se ofrecen en foros clandestinos. Por ello, el caso genera preocupación entre contribuyentes y empresas en México.
¿Qué información habrían robado del SAT?
La filtración no se limita a datos fiscales básicos. Además, los archivos presuntamente sustraídos contienen información altamente sensible. Entre los datos expuestos se encuentran:
Cuentas bancarias
Nóminas con salarios exactos
Direcciones fiscales
Correos electrónicos personales
Vínculos comerciales privados entre empresas tecnológicas y proveedores
En consecuencia, Gómez Villaseñor advierte que esta información podría facilitar fraudes, robo de identidad y estafas digitales.
Falla de seguridad en Factura Móvil
Según el periodista, el incidente se originó en una vulnerabilidad crítica dentro de la infraestructura en la nube del SAT, específicamente en el sistema que respalda la aplicación Factura Móvil.
Además, el atacante habría validado los datos directamente en el portal de Hacienda. De esta manera, buscó evitar cualquier desmentido oficial.
“La vulnerabilidad en Factura Móvil permanece activa”, señaló Gómez Villaseñor en la red social X.
¿Quién estaría detrás del presunto hackeo?
El responsable del ataque sería ByteToBreach, un grupo organizado de ciberdelincuentes. A diferencia de otros casos, no se trata de un solo hacker.
Según la investigación, el grupo continúa extrayendo información en tiempo real, lo que incrementa el nivel de riesgo. Asimismo, asegura haber obtenido 120 mil CFDI emitidos durante 2025.
ByteToBreach: un grupo con historial internacional
El Centro de Inteligencia Cibernética (CIC) Kela, firma israelí especializada en amenazas digitales, identifica a ByteToBreach como un actor activo desde mediados de 2025.
Además, Kela documenta que este grupo comercializa datos confidenciales de aerolíneas, bancos y gobiernos en distintos países. Por lo tanto, el caso del SAT no sería un hecho aislado.
¿Por qué el presunto ataque resulta tan grave?
Ignacio Gómez Villaseñor explica que el impacto supera una filtración común. En primer lugar, la exposición de documentos internos debilita la confianza en las instituciones públicas.
Además, el acceso a estos sistemas podría facilitar ataques posteriores, como ransomware o intrusiones a proveedores. En consecuencia, el riesgo se extiende a toda la cadena digital.
Así habría operado el ciberataque
El experto aclara que el ataque no consistió en robar contraseñas. En cambio, el atacante obtuvo tokens de autenticación, con los cuales ingresó directamente al gateway de microservicios conocido como zuul-fac-movil.
Gracias a esta técnica, el delincuente consultó bases de datos del SAT simulando tráfico legítimo. Por ello, el sistema no detectó la intrusión de inmediato.
Evidencias del presunto hackeo al SAT
Para reforzar su versión, el atacante realizó una prueba de vida. Primero, utilizó folios fiscales robados. Después, los consultó en el portal público del SAT.
El sistema confirmó que las facturas eran auténticas, vigentes y emitidas en diciembre de 2025. Así, Gómez Villaseñor descartó que se tratara de información antigua.
SAT niega el hackeo
Tras la difusión del caso, el SAT emitió la Tarjeta Informativa 17. En ese documento, el organismo aseguró que no encontró evidencia de hackeo ni de vulnerabilidades en la aplicación Factura SAT Móvil.
Sin embargo, Gómez Villaseñor puso en duda esa versión. Además, recordó incidentes previos en los que autoridades negaron filtraciones que después resultaron reales.
Antecedentes de ataques al SAT
En diciembre de 2024, la organización Red en Defensa de los Derechos Digitales (R3D) reportó la filtración de credenciales de 111 mil contribuyentes, incluidas contraseñas y claves de la e.firma.
Como resultado, miles de personas quedaron expuestas a riesgos financieros y de suplantación de identidad.
Un patrón creciente de ciberataques
Finalmente, este caso se suma a otras alertas documentadas por el especialista, entre ellas presuntos hackeos a:
Sistemas de agua en 21 estados
Aeroméxico, con riesgo para 30 millones de registros
IMSS, con datos de 20 millones de pensionados
Aunque el SAT niega el presunto hackeo, la evidencia técnica y los antecedentes mantienen la alerta encendida. Por ello, expertos recomiendan reforzar la seguridad digital y extremar precauciones ante posibles fraudes
