El ciberataque perpetrado por el grupo de ransomware LockBit 5.0 contra la Sociedad Hipotecaria Federal (SHF) no solo provocó una interrupción operativa relevante, sino que abrió una posible puerta de entrada para ataques laterales a otras entidades públicas y privadas que dependen de la institución, de acuerdo con la unidad de investigación de SILIKN.
Detectado desde el 21 de enero, el ataque paralizó funciones críticas de la SHF, entre ellas los avalúos, la validación de créditos y los procesos de fondeo, además de derivar en la exfiltración de aproximadamente 277 gigabytes de información sensible, equivalentes a más de un terabyte de datos descomprimidos.
Según la unidad de investigación de SILIKN, el material comprometido incluye expedientes completos de deudores hipotecarios, con datos personales altamente sensibles, como nombres, domicilios, CURP, RFC y detalles financieros. Parte de esta información ya circula en foros de la dark web, mientras que los atacantes mantuvieron la amenaza de una divulgación mayor tras el vencimiento del plazo de extorsión el 5 de febrero de 2026.
El alcance del incidente se explica por el papel estratégico de la SHF dentro del sistema financiero y habitacional. Como banca de desarrollo de segundo piso dependiente de la Secretaría de Hacienda y Crédito Público (SHCP), la institución intermedia entre bancos comerciales, SOFOMES, SOFIPOS, uniones de crédito y organismos públicos como INFONAVIT y FOVISSSTE, a través de plataformas interconectadas y flujos constantes de información compartida.
En este entorno, una brecha en los sistemas de la SHF no constituye un evento aislado, sino que puede funcionar como una vía para ataques laterales hacia otras entidades que dependen de la institución para fondeo, supervisión y operación diaria, advirtió SILIKN.
La preocupación se intensifica en el caso de organismos que concentran información de millones de personas. En particular, INFONAVIT y FOVISSSTE, cuyos expedientes de créditos de vivienda de trabajadores del sector privado y público son administrados y procesados por la SHF, podrían verse expuestos de manera indirecta. La filtración de estos datos abre la puerta a fraudes de identidad, campañas de phishing dirigidas y esquemas de extorsión.
La Comisión Nacional Bancaria y de Valores (CNBV) también figura entre los actores potencialmente afectados. El intercambio de reportes financieros, datos de cumplimiento y accesos a sistemas regulados, mediante plataformas interconectadas, implica que una vulnerabilidad persistente en la SHF represente un riesgo para la integridad de la supervisión del sistema bancario.
Asimismo, el ataque expone de forma indirecta a intermediarios financieros privados y desarrolladores de vivienda, incluidos grandes bancos y constructoras de interés social, que dependen de la SHF para la validación y el fondeo de operaciones, y cuyos clientes ya se encuentran entre los datos comprometidos.
El caso ocurre en un contexto de escalada de ciberataques contra instituciones públicas en México durante 2025 y 2026, periodo en el que se han evidenciado fallas estructurales en la protección de datos gubernamentales. Dependencias como el SAT y el IMSS han sido señaladas por exposiciones de información derivadas de ataques o configuraciones deficientes, con impacto en datos fiscales y médicos.
La unidad de investigación de SILIKN ha advertido que entre 20 y 40 dependencias federales y estatales presentan condiciones de alto riesgo frente a ransomware, algunas con rastros de intrusiones previas que facilitan nuevas infecciones. En varios casos, los accesos no autorizados no se detectan de inmediato, lo que permite a los atacantes mantener presencia durante meses.
De acuerdo con SILIKN, la arquitectura tecnológica del Estado mexicano, sustentada en plataformas centralizadas, accesos compartidos, APIs interinstitucionales y una gestión deficiente de credenciales, amplifica el impacto de cualquier brecha de seguridad. En este esquema, el ataque a una sola institución puede derivar en un efecto dominó que comprometa a múltiples organismos.
Hasta ahora, la SHF ha reconocido intermitencias y la implementación de procesos provisionales, sin detallar el alcance total de la brecha ni las medidas de contención aplicadas. Mientras tanto, el sector vivienda, que moviliza cientos de miles de millones de pesos al año, opera de forma parcial, con retrasos en créditos, proyectos detenidos y afectaciones directas para familias, intermediarios financieros y desarrolladores.
El ciberataque a la SHF, advirtió SILIKN, no debe analizarse como un incidente aislado, sino como una señal de alerta sobre el riesgo de propagación de ataques laterales dentro de un ecosistema institucional altamente interconectado.





