SAT niega que hubo robo masivo de datos tras informe de un ciberataque con IA

El Servicio de Administración Tributaria (SAT) rechazó la presunta vulneración de sus sistemas informáticos mediante el uso de herramientas de inteligencia artificial (IA). La autoridad fiscal emitió un comunicado en respuesta a una investigación de la startup de ciberseguridad Gambit Security, que afirmó que un hacker logró extraer cerca de 150 gigabytes de información de diversas dependencias del gobierno mexicano con apoyo de los modelos Claude, de Anthropic, y GPT-4.1, desarrollado por OpenAI.

La firma especializada detalló que, a finales de diciembre, detectó un ataque directo contra el SAT con el objetivo de obtener distintos tipos de datos. Tras cuatro semanas de análisis, sus expertos concluyeron que la intrusión formaba parte de una operación más amplia en la que al menos 10 organismos públicos y una institución financiera habrían sido comprometidos. Según sus hallazgos, se expusieron alrededor de 195 millones de identidades y se sustrajeron aproximadamente 150 gigabytes de archivos, entre ellos registros fiscales, actas del Registro Civil y datos del padrón electoral.

Luego de que se difundiera esta información, el SAT informó que inició una revisión exhaustiva de las bitácoras de operación de sus plataformas para identificar cualquier posible vínculo con la supuesta filtración. “De las revisiones efectuadas, no se identifican accesos ilegítimos ni comportamiento anómalo en la operación de dichos sistemas”, aseguró la institución en su posicionamiento público.

La dependencia subrayó que los mecanismos de protección que respaldan su infraestructura tecnológica se apegan a las directrices y marcos de gestión establecidos por el Gobierno Federal, sustentados en estándares internacionales como la familia ISO/IEC 27000, así como en las normas ISO 22301 e ISO 31000, con el propósito de mantener vigilancia permanente y detectar de manera temprana cualquier incidente de naturaleza informática.

La familia ISO/IEC 27000 agrupa un conjunto de controles y procedimientos que conforman un sistema integral de seguridad de la información, basado en tres principios fundamentales: confidencialidad, integridad y disponibilidad. Por su parte, la norma ISO 31000 se centra en la identificación y gestión de riesgos, además de la implementación de salvaguardas adecuadas para mitigar amenazas. Finalmente, la ISO 22301 establece lineamientos para la continuidad operativa, de modo que, tras un incidente cibernético, la organización pueda restablecer sus actividades con la menor afectación posible y en el menor tiempo.

Con base en estos marcos, el SAT afirmó que, ante cualquier indicio de un posible incidente digital, despliega protocolos de monitoreo y, en su caso, de contención y mitigación para proteger la información de los contribuyentes.