El dato como eslabón débil: Riesgos en ciberseguridad

En los últimos días comenzó a circular en distintos medios información sobre una supuesta filtración masiva de datos relacionada con dependencias del Gobierno Federal. El tema vuelve a encender una alerta que no es nueva, pero sí cada vez más urgente: qué tan protegidos están los datos que resguardan las instituciones públicas y qué pasa cuando esa información cae en manos equivocadas.

Aunque las autoridades sostienen que se trata de accesos limitados a sistemas antiguos o administrados por terceros, investigaciones periodísticas advierten sobre la posible exposición de grandes volúmenes de datos personales. Más allá de confirmar si la filtración es reciente, si ocurrió hace años o si los sistemas siguen activos, la discusión se mueve hacia otro terreno: el riesgo que representa la exposición del dato en sí y la forma en que se gobierna su uso.
El punto más que ahondar está en si la filtración es total o parcial; quisiera dirigirlo hacia tipo de información que presuntamente queda expuesta. Los reportes mencionan datos personales, identificadores oficiales y, en algunos casos, información biométrica. Desde la óptica de la ciberseguridad, este tipo de datos es sensible porque construye la identidad digital de las personas y se utiliza de manera cotidiana en trámites gubernamentales, banca, telecomunicaciones, servicios de salud y plataformas digitales.
Cuando este tipo de información se filtra, el riesgo no termina con el incidente técnico. A diferencia de una contraseña, el dato personal o biométrico no se puede cambiar. Una CURP, una huella digital o un reconocimiento facial comprometido puede ser reutilizado durante años para cometer estafas, fraudes, suplantación de identidad o incluso para bloquear el acceso de una persona a servicios esenciales. En ese sentido, el impacto de una filtración de datos suele ser silencioso, pero prolongado.
Este posible escenario deja ver una debilidad en la forma en que las organizaciones, públicas y privadas, abordan la seguridad. Tradicionalmente, la protección se ha enfocado en la infraestructura: firewalls, sistemas, redes y plataformas. Sin embargo, el dato (como el activo más valioso) no siempre cuenta con una estrategia clara de gobernabilidad. En muchos casos, se desconoce con precisión dónde viven los datos, quién tiene acceso a ellos, bajo qué permisos y con qué controles.
La gobernabilidad de datos se vuelve clave en entornos cada vez más complejos. Hoy la información se mueve entre sistemas heredados, servicios en la nube, aplicaciones de terceros y proveedores externos. Cada punto de acceso es una posible puerta de entrada para un incidente, cuando no existen reglas claras sobre el ciclo de vida del dato —desde su recolección hasta su almacenamiento y eliminación—, cualquier acceso no autorizado puede escalar rápidamente y generar un efecto dominó.
El problema se agrava en sectores que manejan grandes volúmenes de información sensible, como telecomunicaciones. En estos entornos, los datos biométricos se utilizan como mecanismo de autenticación y validación de identidad.
El contexto actual también favorece la sofisticación de las estafas. Los atacantes ya no dependen únicamente del phishing genérico o de correos masivos. Con datos filtrados, pueden construir ataques mucho más creíbles y personalizados: llamadas telefónicas con información real del usuario, mensajes que parecen legítimos y fraudes diseñados para aprovechar eventos específicos, como trámites oficiales o movimientos financieros. Aquí es donde la filtración de datos se convierte en un habilitador directo del fraude.
A este escenario se suma el uso creciente de inteligencia artificial. Si bien las herramientas están diseñadas para mejorar eficiencia y productividad, también introducen nuevos riesgos cuando no existe una política clara de uso del dato. El uso no controlado de agentes de IA dentro de las organizaciones puede facilitar la exposición de información sensible si los empleados cargan datos sin saber quién los procesa, dónde se almacenan o cómo se reutilizan.
Asimismo, el panorama se complica por la forma en que se comunican y gestionan los incidentes de seguridad. En México no existe una obligación clara y estandarizada para reportar brechas de datos. Esto genera opacidad y dificulta dimensionar el impacto real de los incidentes. Sin notificaciones oportunas, análisis técnicos públicos o lineamientos homogéneos, resulta complejo saber si se trata de un caso aislado o de una práctica recurrente.
Sin información clara sobre qué ocurrió, cómo ocurrió y qué datos se vieron comprometidos, los errores se repiten y los usuarios quedan expuestos sin saberlo. El desarrollo tecnológico avanza sin freno, pero la protección del dato no siempre crece al mismo ritmo. Mientras las estrategias de seguridad no se centren en el dato (en su clasificación, su acceso, su uso y su gobierno), los incidentes seguirán ocurriendo y las estafas seguirán encontrando terreno fértil.
Más allá de confirmar o descartar el alcance real de este caso en particular, el mayor riesgo hoy no es el ataque en sí, sino la falta de control sobre la información. Fortalecer la seguridad digital requiere dejar de ver el dato como un subproducto de los sistemas y comenzar a tratarlo como el activo crítico que es.

*La Autora es Reportera en eSemanal.