- Ciberataque paraliza servicios digitales del Ayuntamiento de Cajeme.
El pasado 22 de agosto del presente año, el Ayuntamiento de Cajeme sufrió una interrupción temporal en sus servicios digitales tras detectarse un ataque cibernético que afectó su sistema informático institucional. Para el 25 de agosto, los servicios continuaban inactivos después de tres días de suspensión. De acuerdo con los primeros diagnósticos técnicos, la recuperación completa podría tardar alrededor de cinco días, dependiendo de los avances en las labores de seguridad y restauración.
Vulnerabilidades previas ignoradas
La Unidad de Investigación de SILIKN había advertido en múltiples ocasiones sobre las vulnerabilidades presentes en esta dependencia, notificando de manera simultánea a la Guardia Nacional. Entre los hallazgos más relevantes destacan:
- 24 de enero de 2024: Se alertó sobre una vulnerabilidad crítica en Zoom Desktop Client, VDI Client, Zoom Video SDK y Zoom Meeting SDK en sistemas Windows. Entre las dependencias en mayor riesgo se encontraba el Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme, Sonora.
- 12 de noviembre de 2024: Se denunció la distribución de versiones actualizadas de Remcos, una herramienta de acceso remoto clasificada como Remote Access Trojan (RAT). Aunque fue concebida como un software legítimo para administración y soporte, ha sido ampliamente explotada por ciberdelincuentes para tomar control ilícito de sistemas. Cajeme volvió a figurar entre las dependencias en alto riesgo.
- 18 de noviembre de 2024: Se identificó una vulnerabilidad crítica en el complemento Really Simple Security (antes Really Simple SSL) para WordPress. La explotación de esta falla permitía obtener acceso administrativo remoto total a los sitios web afectados. Aunque el problema fue corregido en la versión 9.1.2, publicada días después, el organismo de Cajeme figuraba entre las entidades expuestas.
- 29 de noviembre de 2024: Se detectaron campañas de phishing que utilizaban el kit Rockstar 2FA (Phishing-as-a-Service), diseñado para robar credenciales de cuentas de Microsoft 365 mediante ataques Adversary-in-the-Middle (AitM). Cajeme fue nuevamente señalado como objetivo vulnerable.
- 4 de marzo de 2025: Se documentó una campaña de phishing dirigida a cuentas de Microsoft SharePoint. A través de documentos maliciosos, los atacantes buscaban ejecutar comandos de PowerShell para desplegar Havoc, un marco de comando y control (C2). El ataque destacaba por ocultar la comunicación maliciosa mediante la API de Microsoft Graph dentro de SharePoint, disfrazando la actividad dentro de servicios legítimos. El organismo de Cajeme fue nuevamente catalogado como altamente vulnerable.
- 19 de mayo de 2025: Se reportó una vulnerabilidad crítica en Eventin, un complemento de WordPress con más de 10,000 instalaciones activas. La falla permitía a usuarios no autenticados obtener privilegios administrativos en los sitios afectados. Cajeme volvió a ser identificado como uno de los principales afectados.
Repercusiones del ataque
Las consecuencias para Cajeme y sus ciudadanos son múltiples y de gran gravedad. Existe un alto riesgo de exposición de datos personales, fiscales y documentos sensibles.
La suspensión indefinida de los servicios digitales del Ayuntamiento limita la capacidad operativa de la institución, genera pérdidas económicas significativas y afecta directamente la gestión pública.
Además, la información sustraída podría ser utilizada en actividades delictivas como fraudes financieros, robo de identidad, extorsiones personalizadas y otros delitos que impactarían de manera directa a la población.
Riesgos estructurales
Una de las principales debilidades de este tipo de dependencias es que suelen compartir recursos, entre ellos redes e infraestructura tecnológica. Esta práctica responde, en gran medida, a políticas de austeridad que han reducido la inversión en soluciones tecnológicas indispensables para garantizar la estabilidad en la gestión gubernamental.
Como consecuencia, es altamente probable que los atacantes hayan vulnerado primero al Organismo Operador Municipal de Agua Potable, Alcantarillado y Saneamiento de Cajeme, para luego propagarse por toda la red y desplegar el ransomware.
Desde la Unidad de Investigación de SILIKN se han emitido constantemente alertas que también son compartidas con la Guardia Nacional. Su objetivo es advertir a las instituciones y autoridades competentes, pero sobre todo proteger a la ciudadanía, que resulta directamente afectada cuando su información se ve comprometida.
Los datos que el gobierno no resguarda adecuadamente —a pesar de ser su responsabilidad y compromiso— corresponden a los ciudadanos. Este incidente refleja la necesidad urgente de atender las alertas a tiempo, dar seguimiento puntual a las denuncias y fortalecer las prácticas de ciberseguridad en beneficio de la población.
Es indispensable que el gobierno mexicano mantenga la inversión en la modernización de sus sistemas tecnológicos, a fin de reducir riesgos y vulnerabilidades previamente identificados. La actualización constante de estas plataformas es esencial para garantizar la calidad de los servicios públicos y para que las instituciones cumplan con sus responsabilidades de manera eficiente y confiable.
En el caso específico del Ayuntamiento de Cajeme, las mejores prácticas que debe adoptar incluyen no solo presentar una denuncia formal ante las autoridades competentes, sino también aplicar de inmediato las medidas de seguridad correspondientes e implementar un protocolo transparente de notificación a todas las personas físicas y morales cuyos datos pudieran haberse visto comprometidos.
Fuente: Víctor Ruiz, fundador de SILIKN
